Межсетевые экраны FortiGate тайно перенастраиваются и лишаются функционала злоумышленниками, которым удалось обойти защиту SSO и извлечь конфиденциальные настройки прямо из коробки.
Об этом свидетельствует предупреждение от компании по кибербезопасности Arctic Wolf. По их данным, с 15 января наблюдается волна автоматизированной вредоносной активности, нацеленной на устройства Fortinet FortiGate через скомпрометированные учетные записи SSO. Злоумышленники изменяют настройки брандмауэра, создают резервные учетные записи администратора и эксфильтрируют файлы конфигурации.
Arctic Wolf отмечает, что атакующие не просто проводят разведку: они создают новые учетные записи администратора, корректируют правила VPN и брандмауэра, а затем экспортируют полную конфигурацию. Эти конфигурации часто содержат конфиденциальные учетные данные и сведения о внутренней сети, фактически предоставляя атакующим “карту” для дальнейших действий.
“Все вышеперечисленные действия происходили в течение секунд друг от друга, что указывает на возможность автоматизированной активности”, — говорится в сообщении Arctic Wolf.
Arctic Wolf пока не подтвердила наличие новой уязвимости. Однако наблюдаемое поведение тревожно совпадает с эксплуатацией уже известных брешей. Эта активность связана с двумя критическими ошибками обхода аутентификации (CVE-2025-59718 и CVE-2025-59719), которые позволяли злоумышленникам обходить проверки входа через SSO с помощью специально сформированных SAML-ответов. Исправления для них были выпущены в декабре прошлого года, но консультативное заключение Arctic Wolf выходит на фоне растущего числа сообщений от администраторов, полагающих, что злоумышленники используют обход патча для CVE-2025-59718 для компрометации брандмауэров, которые, как считалось, уже были защищены.
На Reddit администраторы затронутых систем сообщают, что Fortinet в частном порядке признала, что FortiOS 7.4.10 не устраняет полностью проблему обхода аутентификации SSO, хотя считалось, что она исправлена с выпуском FortiOS 7.4.9 в начале декабря. Несколько клиентов заявляют о проникновениях даже в полностью обновленных системах.
Сообщается, что Fortinet готовит дополнительные релизы – FortiOS 7.4.11, 7.6.6 и 8.0.0 – в ближайшие дни для полного устранения CVE-2025-59718.
Логи, предоставленные пострадавшими клиентами, показывают, что злоумышленники входят в систему через SSO с адреса cloud-init@mail.io, исходящего с IP-адреса 104.28.244.114, после чего создают новых администраторов. Эти индикаторы совпадают с той же активностью, которую Arctic Wolf наблюдала при анализе текущих атак на FortiGate, а также с аналогичными попытками эксплуатации, имевшими место в декабре.
Arctic Wolf настоятельно призывает организации провести аудит учетных записей администраторов FortiGate, проанализировать недавние изменения конфигурации, сменить учетные данные и внимательно следить за активностью SSO до выхода следующей серии исправлений от Fortinet. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page
