В сфере информационной безопасности централизованное управление сетевым периметром является ключевым элементом защиты. Именно поэтому новость о критической уязвимости в платформе FortiManager, продукте для централизованного управления устройствами Fortinet, вызывает серьезную озабоченность у специалистов по всему миру. Компания Fortinet выпустила экстренное предупреждение об обнаружении уязвимости высокой степени опасности, получившей идентификатор CVE-2025-54820 с оценкой по шкале CVSS 7.0. Эта проблема позволяет удаленным злоумышленникам, не проходящим аутентификацию, выполнять произвольные команды на целевой системе, что потенциально ставит под угрозу всю управляемую инфраструктуру.
Уязвимость CVE-2025-54820
Суть уязвимости заключается в классической ошибке переполнения буфера на основе стека (CWE-121), обнаруженной в службе "fgtupdates" FortiManager. Данная служба отвечает за обновление прошивок управляемых устройств. Когда она активна, атакующий может отправить на уязвимый аппаратный или виртуальный экземпляр FortiManager специально сформированный сетевой запрос. В случае успешной эксплуатации это переполнение может привести к выполнению произвольного кода или несанкционированных команд на операционной системе платформы управления. Однако Fortinet отмечает, что успешность атаки не гарантирована, так как злоумышленникам необходимо обойти встроенные механизмы защиты стека, что усложняет создание стабильного эксплойта. Более того, сама атака возможна только при условии, что служба "fgtupdates" включена. Если она отключена, вектор для атаки отсутствует.
Под угрозой находятся несколько устаревших веток программного обеспечения FortiManager. Администраторам необходимо срочно проверить свои системы на предмет использования уязвимых версий. В частности, проблема затрагивает FortiManager версий 7.4.0-7.4.2, всех версий ветки 7.2 вплоть до 7.2.10, а также абсолютно все релизы ветки 6.4, которая более не поддерживается. Между тем, компания подтвердила, что актуальная ветка FortiManager версии 7.6 не подвержена уязвимости. Кроме того, организации, использующие облачный сервис FortiManager Cloud, также находятся в безопасности и не требуют дополнительных действий.
Fortinet настоятельно рекомендует всем затронутым организациям как можно скорее обновить свои системы до защищенных версий. Пользователям ветки 7.4 необходимо перейти на версию 7.4.3 или новее, а тем, кто использует 7.2, - на версию 7.2.11 или новее. Что касается клиентов, все еще работающих на версии 6.4, им следует запланировать миграцию на поддерживаемую и исправленную ветку, так как патчей для этой версии выпущено не будет. Уязвимость была обнаружена и ответственно раскрыта исследователем в области безопасности catalpa из Dbappsecurity Co., Ltd.
Для организаций, которые не могут немедленно применить обновление, Fortinet предоставила временный способ устранения угрозы. Угрозу можно нейтрализовать, отключив службу "fgtupdates" через командную строку (CLI) FortiManager. Для этого администратору необходимо зайти в конфигурацию системного интерфейса и отредактировать список разрешенных служб для соответствующего сетевого порта, убедившись, что "fgtupdates" в него не входит. Данная мера эффективно блокирует возможность эксплуатации уязвимости до тех пор, пока не будет установлен официальный патч. Важно подчеркнуть, что это временное решение, и полное обновление остается приоритетной задачей.
| 1 2 3 4 | config system interface edit <portID> set serviceaccess <service> end |
С практической точки зрения данная уязвимость подчеркивает несколько ключевых принципов безопасности. Во-первых, она демонстрирует риски, связанные с устаревшим и неподдерживаемым программным обеспечением, таким как ветка 6.4, для которой исправления уже не поступают. Во-вторых, инцидент иллюстрирует важность принципа минимальных привилегий для сетевых служб: неиспользуемые сервисы, подобные "fgtupdates", должны быть по умолчанию отключены или строго ограничены. Для команд SOC это сигнал к усилению мониторинга сетевой активности, направленной на устройства управления, и к немедленной проверке журналов на предмет подозрительных попыток обращения к соответствующим портам. В конечном счете, своевременное обновление критически важных систем управления остается самым эффективным способом закрыть подобные дыры в безопасности до того, как они будут использованы в реальных атаках.
