Кибербезопасность мирового уровня столкнулась с новой серьёзной угрозой. Две критические уязвимости в устройствах FortiGate компании Fortinet активно эксплуатируются злоумышленниками в реальных условиях. Эксперты предупреждают, что эти бреши позволяют полностью обойти аутентификацию, предоставляя неавторизованным атакующим доступ к ключевым сетевым компонентам.
Детали уязвимостей
Информация об уязвимостях, получивших идентификаторы CVE-2025-59718 и CVE-2025-59719, была опубликована Fortinet 9 декабря 2025 года. Согласно бюллетеням безопасности, проблемы затрагивают механизмы аутентификации FortiCloud SSO (единого входа). В частности, уязвимости позволяют обойти защиту входа через SSO с помощью специально сформированных сообщений SAML. Это становится возможным, когда функция FortiCloud SSO активирована на уязвимых устройствах.
Уже 12 декабря 2025 года служба мониторинга Arctic Wolf зафиксировала скоординированные атаки по всему миру. Злоумышленники использовали поддельные запросы на единый вход для компрометации устройств FortiGate. Обе уязвимости получили максимально высокий балл CVSS 9.8, что классифицирует их как критические. Для их эксплуатации не требуется аутентификация, а вектор атаки является сетевым.
Под угрозой находятся несколько линеек продуктов Fortinet, включая FortiOS, FortiWeb, FortiProxy и FortiSwitchManager. Хотя функция FortiCloud SSO по умолчанию отключена в заводских настройках, существует важный нюанс. Администраторы, регистрирующие устройства через FortiCare с помощью графического интерфейса, автоматически включают SSO, если явно не отключат эту опцию во время регистрации. Это значительно расширяет потенциальный круг уязвимых систем.
Атаки ведутся с инфраструктуры, предоставленной несколькими хостинг-провайдерами. Большинство вредоносных попыток входа через SSO нацелены на учётные записи администраторов и исходят с семи идентифицированных IP-адресов. После успешного обхода аутентификации злоумышленники систематически экспортируют конфигурации устройств через графический интерфейс. Вероятной целью является получение хэшей учётных данных и деталей сетевой архитектуры для дальнейшего продвижения вглубь корпоративной сети.
Компания Fortinet уже выпустила исправления для всех затронутых продуктов. Для линейки FortiOS 7.6 необходимо обновиться до версии 7.6.4 или выше, для версии 7.4 - до 7.4.9, для 7.2 - до 7.2.12, а для 7.0 - до 7.0.18. Аналогичные патчи выпущены для FortiProxy и FortiWeb. Продукты FortiOS 6.4, FortiWeb 7.0 и FortiWeb 7.2 остаются незатронутыми.
Специалисты по безопасности настаивают на трёх неотложных шагах по устранению угрозы. В первую очередь, необходимо немедленно обновить все затронутые продукты Fortinet до пропатченных версий. Во-вторых, если есть подозрение на взлом, требуется сбросить все учётные данные администраторов межсетевого экрана. Это критически важно, поскольку атакующие могли получить хэши паролей из экспортированных конфигураций. В-третьих, доступ к интерфейсам управления должен быть строго ограничен доверенными внутренними сетями, чтобы исключить возможность атаки напрямую из интернета.
В качестве временной меры защиты, до завершения обновления, рекомендуется отключить функцию FortiCloud SSO. Это можно сделать через системные настройки или с помощью команд интерфейса командной строки. Кроме того, организациям следует усилить мониторинг. Необходимо отслеживать подозрительные попытки входа в систему администратора с неизвестных IP-адресов и настроить оповещения об экспорте конфигураций через графический интерфейс.
Сочетание возможности эксплуатации без какого-либо взаимодействия с пользователем, автоматического нацеливания на учётные записи администраторов и прямого доступа к конфигурациям делает эту кампанию исключительно опасной. Промедление с установкой исправлений и принятием защитных мер создаёт прямой риск полного компрометирования корпоративной сети. Сейчас как никогда важны оперативные действия и пристальное внимание к системам, использующим продукты Fortinet.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-59718
- https://www.cve.org/CVERecord?id=CVE-2025-59719
- https://fortiguard.fortinet.com/psirt/FG-IR-25-647
- https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-sso-logins-following-disclosure-cve-2025-59718-cve-2025-59719/
