Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Fortinet firewall-ите погодени од злонамерни промени на конфигурацијата

Објавено: 23.01.2026

Автоматизирани инфекции на потенцијално целосно закрпени FortiGate уреди им овозможуваат на заканувачките актери да крадат конфигурациски датотеки од firewall-ите.

Заканувачки актер ги компромитира Fortinet firewall-ите преку најави со single sign-on (SSO) во изминатата недела, што ја отвора можноста дека претходно откриената и наводно санирана ранливост за заобиколување на автентикацијата не била соодветно закрпена.

Истражувачите од Arctic Wolf Labs забележале злонамерна активност која започнала на 15 јануари и вклучувала SSO најави и неовластени промени на конфигурацијата на FortiGate уредите. По најавувањето на уредите, неидентификуван заканувачки актер креирал генерички сметки, им доделил VPN пристап на тие сметки, а потоа ги ексфилтрирал конфигурациите на firewall-ите, напиша Arctic Wolf Labs во блог-објава во средата. Активноста, за која истражувачите се сомневаат дека била автоматизирана, е слична на кампања на закани што Arctic Wolf ја документираше во декември по објавувањето на две критични Fortinet ранливости, CVE-2025-59718 и CVE-2025-59719.

Fortinet објави закрпи за двете слабости, но CVE-2025-59718 — која им овозможува на напаѓачите да ја заобиколат FortiCloud SSO автентикацијата — беше експлоатирана „во дивината“ подоцна истиот месец. Американската Агенција за сајбер-безбедност и безбедност на инфраструктурата (CISA) ја додаде оваа слабост во својот каталог на познати експлоатирани ранливости (KEV) неколку дена по првичниот извештај на Arctic Wolf во декември. Злонамерната активност се совпаѓа со непотврдени извештаи оваа недела од корисници за злонамерни SSO најави на FortiGate уреди кои биле закрпени за CVE-2025-59718. Неколку корисници на subreddit-от r/Fortinet во последните денови пријавиле компромитации на firewall-и кои биле ажурирани на поправени FortiOS верзии, што покрена загриженост дека закрпите не ја ублажиле целосно ранливоста.
„Во овој момент не е познато дали најновата забележана активност со закани е целосно покриена со закрпата што првично ги адресираше CVE-2025-59718 и CVE-2025-59719,“ предупреди Arctic Wolf Labs во блог-објавата.

Истражувачкиот тим за Dark Reading изјави дека не бил во можност да утврди дали е искористено заобиколување на закрпата. „Свесни сме за независни извештаи дека целосно закрпени уреди биле погодени од најновиот кластер на заканувачка активност, но не сме во можност дефинитивно да потврдиме дека тоа е случај,“ велат од Arctic Wolf Labs.

Dark Reading ја контактираше Fortinet за коментар, но компанијата не одговори до моментот на објавување.

Можни автоматизирани напади на Fortinet firewall-и

Откако заканувачкиот актер обезбедил пристап до уредите преку SSO, дополнителна злонамерна активност — од креирање повеќе сметки до ексфилтрација на конфигурациски податоци — се извршувала многу брзо, според Arctic Wolf Labs.

„Следните активности на компромитираните firewall сметки се случуваа во рок од неколку секунди една по друга, што укажува на потенцијал за автоматизирана активност,“ стои во блог-објавата. Arctic Wolf Labs наведува дека кластерот на злонамерна активност се одвивал во краток временски период низ повеќе региони. Сепак, истражувачкиот тим истакнува дека нема конкретни индикации дека за кампањата е користена вештачка интелигенција (AI).

Конфигурациските податоци биле ексфилтрирани на неколку IP адреси. За заштита, истражувачкиот тим препорачува на корисниците на Fortinet да го ограничат пристапот до интерфејсите за управување со firewall и VPN само до доверливи внатрешни мрежи.

Ако се детектираат злонамерни најави на уредите, администраторите треба да претпостават дека хашираните ингеренции од firewall-от се компромитирани и веднаш да ги ресетираат. Истражувачите од Arctic Wolf Labs предупредуваат дека заканувачките актери се познати по тоа што хашевите ги кршат офлајн, особено слабите ингеренции ранливи на dictionary напади.

„Со оглед на тоа што активноста на заканите опишана во оваа кампања вклучува злонамерни SSO најави, вреди да се разгледа следниот привремен заобиколен метод што Fortinet го понудил за CVE-2025-59718 и CVE-2025-59719,“ напишаа тие, охрабрувајќи ги корисниците привремено да ја оневозможат функцијата FortiCloud SSO најавање на своите уреди.

Злонамерните SSO најави ја означуваат најновата закана со која се соочуваат корисниците на Fortinet годинава. Минатата недела, критична ранливост што ја засегна платформата FortiSIEM, CVE-2025-64155, беше експлоатирана во дивината.

Извори:

  • Dark Reading – Fortinet Firewalls Hit With Malicious Configuration Changes Dark Reading