Секунды на взлом и никаких паролей. Хакеры начали массовую атаку на сетевые экраны Fortinet

Специалисты Arctic Wolf зафиксировали новую волну атак на сетевые экраны Fortinet FortiGate. Злоумышленники массово меняют настройки устройств, получая несанкционированный доступ к системам и закрепляясь в инфраструктуре организаций, причём все это происходит практически без участия человека.

Активность началась 15 января 2026 года. Атаки выглядят как полностью автоматизированная кампания. Сначала злоумышленники входят в систему через учётные записи с поддержкой единого входа, затем создают дополнительные технические аккаунты для постоянного доступа, меняют настройки, чтобы открыть им доступ к виртуальным частным сетям, и выгружают конфигурации сетевых экранов. В Arctic Wolf отмечают, что все действия выполняются в течение нескольких секунд, что указывает на использование скриптов и автоматических инструментов.

Текущая кампания очень похожа на атаку, о которой компания уже сообщала в декабре 2025 года. Тогда также фиксировались входы администраторов через систему единого входа, после чего происходили изменения конфигураций и утечка данных с устройств FortiGate.

Специалисты напоминают, что в начале декабря Fortinet опубликовала предупреждение о двух критических уязвимостях, позволявших обходить проверку подлинности при входе через единый вход. Уязвимости были зарегистрированы под идентификаторами CVE-2025-59718 и CVE-2025-59719. Они позволяли злоумышленникам авторизоваться без пароля при использовании специально сформированных SAML-сообщений (Security Assertion Markup Language), если на устройстве была включена функция FortiCloud SSO. Под угрозой оказались сразу несколько продуктов компании, включая FortiOS, FortiWeb, FortiProxy и FortiSwitchManager.

Пока неизвестно, связана ли новая волна атак напрямую с этими уязвимостями и полностью ли она закрывается установленными обновлениями. В Arctic Wolf подчёркивают, что метод первоначального проникновения ещё точно не установлен.

В рамках атак злоумышленники используют типовые учётные записи вроде «cloud-init@mail.io» и создают новые аккаунты с названиями secadmin, itadmin, support, backup, remoteadmin, audit. После входа в систему они скачивают конфигурационные файлы сетевых экранов и настраивают дополнительные параметры доступа.

Специалисты предупреждают, что даже если пароли в конфигурациях хранятся в виде хэшей, их могут попытаться взломать офлайн, особенно если используются слабые пароли. Поэтому при признаках компрометации рекомендуется срочно менять учётные данные администраторов и сервисных аккаунтов.

В качестве временной меры специалисты советуют рассмотреть отключение входа через FortiCloud SSO, если он используется, до появления дополнительных разъяснений и обновлений от Fortinet. Также компаниям рекомендуют ограничивать доступ к интерфейсам управления сетевыми устройствами только доверенными внутренними сетями, так как именно эти точки чаще всего становятся целями массовых атак.