Дефолт — это приговор. Fortinet включил уязвимость за вас, а хакеры сказали спасибо

Arctic Wolf сообщает о первых вторжениях в сети клиентов, где злоумышленники входили на FortiGate через FortiCloud SSO вскоре после раскрытия двух критических уязвимостей обхода аутентификации — CVE-2025-59718 и CVE-2025-59719. По данным компании, подозрительная активность началась 12 декабря 2025 года, а рекомендации от Fortinet по этим проблемам были опубликованы 9 декабря.

Обе уязвимости позволяют неаутентифицированному злоумышленнику обходить проверку SSO-логина с помощью специально сформированных SAML-сообщений, но при важном условии: на устройстве должна быть включена функция FortiCloud SSO. Сообщается, что затронуты сразу несколько линеек Fortinet — FortiOS, FortiWeb, FortiProxy и FortiSwitchManager. При этом Fortinet отдельно уточняет, что FortiCloud SSO login в заводских настройках выключен, однако при регистрации устройства через FortiCare в GUI FortiCloud SSO включается автоматически, если администратор на странице регистрации не отключит настройку Allow administrative login using FortiCloud SSO.

В зафиксированных инцидентах Arctic Wolf отмечает, что «вредоносные» SSO-входы на FortiGate шли с небольшого набора хостинг-провайдеров. Согласно логам, хакеры обычно заходили под учётной записью admin по SSO, после чего через веб-интерфейс выгружали конфигурацию устройства на определенные IP-адреса — это отражалось в событиях вида System config file has been downloaded by user admin via GUI.

В рекомендациях специалистов главное внимание уделено тому, что если конфигурация была выгружена атакующим, её нужно считать компрометированной: хотя пароли в конфигурациях сетевых устройств обычно хэшируются, злоумышленники нередко подбирают их офлайн, особенно когда пароль слабый и подходит под словарные атаки. Также Arctic Wolf советует ограничить доступ к интерфейсам управления файрволами и VPN-шлюзами только доверенными внутренними сетями, поскольку массовая эксплуатация часто опирается на поиск «подходящих» устройств через специализированные поисковые системы.

Отдельно приводятся версии, которые нужно установить для устранения проблемы. Для FortiOS ветки 7.6 уязвимы 7.6.0–7.6.3 (фикс — 7.6.4+), для 7.4 — 7.4.0–7.4.8 (фикс — 7.4.9+), для 7.2 — 7.2.0–7.2.11 (фикс — 7.2.12+), для 7.0 — 7.0.0–7.0.17 (фикс — 7.0.18+). Аналогично указаны диапазоны для FortiProxy (7.6.0–7.6.3 → 7.6.4+, 7.4.0–7.4.10 → 7.4.11+, 7.2.0–7.2.14 → 7.2.15+, 7.0.0–7.0.21 → 7.0.22+), FortiSwitchManager (7.2.0–7.2.6 → 7.2.7+, 7.0.0–7.0.5 → 7.0.6+) и FortiWeb (8.0.0 → 8.0.1+, 7.6.0–7.6.4 → 7.6.5+, 7.4.0–7.4.9 → 7.4.10+). При этом подчёркивается, что FortiOS 6.4, FortiWeb 7.0 и FortiWeb 7.2 не затронуты.

В качестве временного обходного пути Fortinet рекомендует отключить FortiCloud login, если он включён, до обновления на безопасную версию. Это можно сделать в интерфейсе System -> Settings, переключив Allow administrative login using FortiCloud SSO в Off, либо командой в CLI:

config system global
set admin-forticloud-sso-login disable
end