З середини січня 2026 року міжмережеві екрани Fortinet FortiGate опинилися в центрі нової хвилі масових автоматизованих атак. Дослідники Arctic Wolf фіксують сценарії, коли зловмисники за лічені секунди отримують адміністративний доступ через вразливість у FortiCloud SSO, створюють облікові записи адміністраторів із VPN-доступом та експортуюють повні конфігурації пристроїв.
Нова хвиля атак на FortiGate через FortiCloud SSO
За спостереженнями Arctic Wolf, активна фаза кампанії стартувала 15 січня 2026 року. Мішенню стали FortiGate з увімкненим механізмом Single Sign-On у зв’язці з FortiCloud SSO, який дозволяє автентифікуватися в декількох сервісах за одним набором облікових даних.
Атаки повністю автоматизовані: щойно в інтернеті виявляється доступний пристрій з активним FortiCloud SSO, до нього надсилається спеціально сформований трафік. Якщо версія FortiOS вразлива, відбувається несанкціонований вхід з правами адміністратора без введення логіна й пароля.
Технічні деталі вразливості CVE-2025-59718 у FortiCloud SSO
Ключовим елементом кампанії є вразливість CVE-2025-59718, пов’язана з обходом автентифікації під час обробки SAML-повідомлень. SAML (Security Assertion Markup Language) — це стандарт, який використовується для передачі даних автентифікації між постачальником ідентифікації та сервісом.
Через помилку в реалізації SAML у FortiCloud SSO зловмисник може надіслати спеціально сформоване повідомлення, яке пристрій сприймає як коректне підтвердження автентифікації. У результаті неавтентифікований користувач отримує повний доступ до інтерфейсу адміністрування FortiGate, якщо FortiCloud SSO увімкнено.
Після успішної експлуатації CVE-2025-59718 зловмисники зазвичай виконують одні й ті самі дії:
– створюють нові облікові записи адміністраторів із правами VPN-доступу;
– змінюють налаштування VPN та політики файрвола;
– вивантажують повну конфігурацію пристрою.
Конфігураційні файли часто містять логіни та паролі, внутрішні IP-адреси, параметри VPN-тунелів та правила доступу. Такий набір даних фактично надає нападникам детальну карту внутрішньої мережі організації та суттєво спрощує подальшу ескалацію атак.
Чому оновлення FortiOS не зупинили експлуатацію вразливості
Перші інциденти, пов’язані з CVE-2025-59718 та спорідненою вразливістю CVE-2025-59719, були зафіксовані ще в грудні 2025 року. Тоді Fortinet випустила виправлення у складі FortiOS 7.4.9 і заявила, що проблема усунута.
Однак нинішня хвиля зломів демонструє, що експлуатація триває. Адміністратори постраждалих FortiGate повідомляють про компрометацію навіть тих пристроїв, які працювали на актуальній на момент атак версії FortiOS 7.4.10. На профільних форумах, зокрема Reddit, лунають твердження, що в 7.4.10 вразливість закрита лише частково, хоча офіційно Fortinet вказує на повне виправлення ще у версії 7.4.9.
На тлі продовження атак Fortinet, за повідомленнями спільноти, готує позачергові релізи FortiOS 7.4.11, 7.6.6 та 8.0.0, які мають остаточно заблокувати можливість експлуатації CVE-2025-59718. Поки ці версії недоступні, ризик для організацій, що використовують FortiCloud SSO, залишається підвищеним.
Ознаки компрометації FortiGate та масштаби загрози
Логи зламаних FortiGate демонструють типовий шаблон атаки. В більшості випадків:
– вхід через SSO реєструється для адреси електронної пошти cloud-init@mail[.]io;
– використовується IP-адреса 104.28.244[.]114;
– одразу після входу створюється новий обліковий запис адміністратора.
Ці індикатори компрометації збігаються як із поточною хвилею атак, так і з подіями грудня 2025 року, що вказує на високу ймовірність участі однієї й тієї ж, або тісно пов’язаних, злочинних груп.
За даними проєкту Shadowserver, у відкритому доступі зараз перебуває майже 11 000 пристроїв FortiGate з увімкненим FortiCloud SSO. Враховуючи, що експлойт не вимагає попередньої автентифікації та легко автоматизується, усі ці системи є потенційними цілями.
Рекомендації для захисту FortiGate та підвищення кіберстійкості
Негайні дії для адміністраторів Fortinet FortiGate
До виходу остаточних виправлень безпеки фахівці рекомендують:
– тимчасово відключити FortiCloud SSO на всіх пристроях, де він активований;
– перевірити журнали подій на наявність входів через SSO від cloud-init@mail[.]io та активності з IP 104.28.244[.]114;
– провести повний аудит адміністративних облікових записів на FortiGate та видалити невідомі або підозрілі акаунти;
– у разі найменших ознак компрометації змінити всі паролі, перевипустити ключі VPN та сертифікати, а також ретельно перевірити конфігурацію на предмет несанкціонованих змін.
Стратегічний підхід до управління вразливостями
Ситуація з CVE-2025-59718 підкреслює критичну важливість зрілих процесів управління вразливостями. Навіть за наявності патчів ризик зберігається, якщо:
– оновлення застосовуються із запізненням;
– відсутній постійний моніторинг логів і мережевої активності;
– немає актуальної інвентаризації зовні доступних сервісів, таких як FortiCloud SSO.
Для підвищення стійкості мережевої інфраструктури доцільно впроваджувати спеціалізовані системи моніторингу, максимально використовувати мультифакторну автентифікацію, регулярно проводити аудит конфігурацій і тестування на проникнення, приділяючи особливу увагу критичним мережевим пристроям.
Поточна хвиля атак на Fortinet FortiGate демонструє, що навіть зрілі продукти провідних вендорів залишаються привабливою ціллю, а злочинці оперативно автоматизують експлуатацію нових вразливостей. Організаціям, які покладаються на FortiGate та FortiCloud SSO, варто вже зараз відключити потенційно вразливий функціонал, перевірити пристрої на ознаки зламу та підготуватися до якнайшвидшого розгортання нових версій FortiOS. Своєчасні оновлення, постійний моніторинг і проактивний підхід до кібербезпеки сьогодні є не рекомендацією, а обов’язковою умовою безперервної та безпечної роботи мережевої інфраструктури.
