С середины января на межсетевые экраны Fortinet FortiGate обрушилась новая волна массовых автоматизированных атак. По данным исследователей из Arctic Wolf, злоумышленники за считанные секунды получают административный доступ к устройствам через уязвимость в механизме FortiCloud SSO, создают поддельные аккаунты с правами администратора и VPN-доступом, а затем выгружают полные конфигурации файрволов.
Как работает атака на FortiGate через уязвимость FortiCloud SSO
По информации Arctic Wolf, активная фаза кампании началась 15 января 2026 года. Атакующие используют проблему в реализации Single Sign-On (SSO) — механизма единого входа, который позволяет авторизоваться в нескольких сервисах с одной учетной записью.
Ключевым элементом атаки является эксплуатация уязвимости CVE-2025-59718, связанной с обходом аутентификации при обработке специально сформированных SAML-сообщений. SAML — это протокол, который используется для передачи данных аутентификации между поставщиком идентификации и сервисом. Ошибка в обработке таких сообщений позволяет неаутентифицированному злоумышленнику войти в систему, если на устройстве включен FortiCloud SSO.
После успешной эксплуатации уязвимости атакующие:
– мгновенно создают новые административные учетные записи с VPN-доступом;
– изменяют настройки VPN и файрвола;
– выгружают полные конфигурации устройств FortiGate.
Конфигурационные файлы зачастую содержат учетные данные, сведения о внутренней адресации, VPN-туннелях и политике доступа, фактически предоставляя злоумышленникам карту внутренней сети компании и облегчая последующие атаки.
Почему патчи Fortinet не остановили волну взломов
Впервые серия аналогичных инцидентов была зафиксирована еще в декабре 2025 года, после публикации сведений об уязвимостях CVE-2025-59718 и CVE-2025-59719. Тогда Fortinet выпустила обновления безопасности в составе FortiOS 7.4.9, заявив, что проблема закрыта.
Однако текущая волна атак показывает, что эксплуатация продолжается. Администраторы взломанных FortiGate сообщают, что компрометации подверглись устройства, уже обновленные до самой свежей на момент атак версии FortiOS 7.4.10. На профильных площадках, включая Reddit, пострадавшие утверждают, что представители Fortinet якобы признают, что уязвимость в 7.4.10 устранена не полностью, хотя официально производитель считает ее закрытой с версии 7.4.9.
На фоне продолжающейся кампании Fortinet, по сообщениям, готовит экстренный релиз обновлений FortiOS 7.4.11, 7.6.6 и 8.0.0, которые должны окончательно устранить возможность эксплуатации CVE-2025-59718. До выхода этих версий риск для организаций остается повышенным.
Индикаторы компрометации и масштаб угрозы
Логи взломанных FortiGate демонстрируют повторяющийся сценарий атаки. В большинстве случаев:
– вход через SSO фиксируется с адреса электронной почты cloud-init@mail[.]io;
– используется IP-адрес 104.28.244[.]114;
– сразу после входа создается новый аккаунт администратора.
Эти индикаторы компрометации совпадают с наблюдениями Arctic Wolf как по текущей кампании, так и по инцидентам декабря 2025 года, что указывает на высокую вероятность того, что за атаками стоит одна и та же или тесно связанные группы.
По данным проекта Shadowserver, в открытом доступе сейчас находятся почти 11 000 устройств FortiGate с включенным FortiCloud SSO. Все они могут являться потенциальными целями, поскольку эксплуатируемая уязвимость не требует предварительной аутентификации и атака полностью автоматизирована.
Рекомендации по защите FortiGate и снижению рисков
Немедленные меры для администраторов Fortinet FortiGate
Эксперты рекомендуют до выхода окончательных патчей предпринять следующие шаги:
– временно отключить FortiCloud SSO на всех устройствах, где он активирован;
– проверить журналы событий на предмет входов через SSO от cloud-init@mail[.]io и обращений с IP 104.28.244[.]114;
– провести аудит всех административных учетных записей на FortiGate и удалить неизвестные аккаунты;
– при любых признаках компрометации сменить пароли, обновить ключи VPN и сертификаты, а также проверить конфигурации на наличие несанкционированных изменений.
Стратегический подход к управлению уязвимостями
Ситуация с CVE-2025-59718 демонстрирует, насколько критично для организаций иметь процессы быстрого управления уязвимостями. Даже при наличии патчей риск сохраняется, если:
– обновления устанавливаются с задержкой;
– не проводится постоянный мониторинг логов и сетевой активности;
– отсутствует инвентаризация публично доступных служб, таких как FortiCloud SSO.
Для повышения устойчивости инфраструктуры целесообразно использовать специализированные системы мониторинга, внедрять многофакторную аутентификацию там, где это возможно, и регулярно проводить тесты на проникновение и аудит конфигураций сетевых устройств.
Текущая волна атак на Fortinet FortiGate подчеркивает, что даже крупные вендоры и зрелые продукты остаются уязвимыми, а злоумышленники быстро автоматизируют эксплуатацию свежих багов. Организациям, зависящим от FortiGate и FortiCloud SSO, следует оперативно отключить уязвимый функционал, внимательно проверить устройства на признаки взлома и быть готовыми к немедленному установлению новых версий FortiOS, как только они станут доступны. Регулярный мониторинг, дисциплина обновлений и проактивный подход к кибербезопасности сегодня являются не просто рекомендацией, а необходимым условием устойчивой работы сетевой инфраструктуры.
