От входа в FortiGate до полной власти за 10 минут. Разбираем новые сценарии захвата корпоративных сетей

Взлом сетевого устройства на границе сети может быстро привести злоумышленника к контроллерам домена и ключевым данным компании. В начале 2026 года специалисты зафиксировали несколько атак, где злоумышленники использовали уязвимости в межсетевых экранах FortiGate, чтобы проникнуть в корпоративные сети и развивать атаку уже внутри инфраструктуры.

Команда SentinelOne разбирала несколько подобных случаев. Во всех эпизодах злоумышленники сначала получали доступ к устройствам FortiGate Next-Generation Firewall, после чего начинали перемещение по сети. Атаки удалось обнаружить именно на этапе внутреннего распространения.

В период расследований компания Fortinet закрыла несколько опасных уязвимостей. CVE-2025-59718 и CVE-2025-59719 затрагивали механизм единого входа. Из-за отсутствия проверки криптографической подписи злоумышленник мог отправить специально подготовленный SSO-токен и получить административный доступ без аутентификации. Ещё одна уязвимость, CVE-2026-24858, позволяла входить в устройства FortiGate при включённой авторизации через FortiCloud. В некоторых случаях злоумышленники входили с помощью собственных учётных записей FortiCloud. Также фиксировались попытки входа с использованием распространённых слабых паролей.

После получения доступа злоумышленник выгружал файл конфигурации устройства командой show full-configuration. Такой файл содержит структуру сети и учётные данные служебных учётных записей. Поскольку система FortiOS использует обратимое шифрование, злоумышленник может расшифровать файл и получить логины и пароли.

Один из инцидентов начался в ноябре 2025 года и оставался незамеченным до февраля 2026-го. Злоумышленник создал на устройстве FortiGate локальную учётную запись администратора support и добавил правила межсетевого экрана, позволяющие учётной записи перемещаться между всеми сетевыми зонами. Затем активность почти исчезла, что напоминает работу брокера первоначального доступа, который удерживает точку входа и позже передаёт доступ другим участникам атак.

Позже злоумышленник извлёк из конфигурации учётные данные LDAP-учётной записи fortidcagent и вошёл в Active Directory с IP-адреса 193.24.211[.]61. После входа злоумышленник добавил в домен две подставные рабочие станции WIN-X8WRBOSK0OF и WIN-YRSXLEONJY2 через параметр mS-DS-MachineAccountQuota, позволяющий обычной учётной записи добавлять до десяти компьютеров в домен.

Дальше началось сканирование сети и перебор паролей. Система зафиксировала множество неудачных попыток входа, источник которых совпадал с IP-адресом устройства FortiGate. На системах обнаружили и следы утилиты SoftPerfect Network Scanner. Также фиксировались попытки входа с IP-адресов 185.156.73[.]62 и 185.242.246[.]127.

Во втором инциденте злоумышленник действовал значительно быстрее. Получив доступ к FortiGate, злоумышленник создал административную учётную запись ssl-admin, извлёк конфигурацию устройства и получил учётные данные администратора домена. Уже через десять минут злоумышленник вошёл на несколько серверов под встроенной учётной записью администратора домена.

На серверах злоумышленник разместил файлы в каталоге C:\ProgramData\USOShared и установил инструменты удалённого администрирования Pulseway и MeshAgent. Установочный файл Pulseway разместили в облачном хранилище Google Cloud Storage, а MeshAgent установили на контроллер домена и файловый сервер, скрыв программу из списка установленных приложений.

Дополнительно злоумышленник загрузил вредоносный архив из хранилища Amazon S3. Программа маскировалась под компоненты Java и запускала вредоносные библиотеки через механизм DLL side-loading. После запуска вредоносная программа связывалась с доменами ndibstersoft[.]com и neremedysoft[.]com, а затем распространялась на другие серверы через утилиту PsExec.

На следующем этапе злоумышленник создал теневую копию контроллера домена и извлёк из неё базу Active Directory NTDS.dit вместе с веткой реестра SYSTEM. Файлы упаковали и передали на внешний сервер через соединение с IP-адресом 172.67.196[.]232, принадлежащим сети Cloudflare. Соединение длилось около восьми минут, после чего архивы удалили.

Подобные атаки особенно опасны, поскольку устройства FortiGate имеют доступ к ключевым компонентам инфраструктуры, включая Active Directory. При этом на такие устройства нельзя установить защитные системы уровня рабочих станций. Поэтому основная защита сводится к своевременной установке обновлений, жёсткому контролю административного доступа и длительному хранению журналов событий. Специалисты рекомендуют хранить журналы минимум 14 дней, а лучше 60–90 дней и передавать их в централизованные системы мониторинга безопасности.