Критични ранливости во Fortinet под активен напад

Напаѓачите таргетирале администраторски сметки и, откако се автентикирале, извезувале конфигурации на уредите, вклучувајќи хаширани креденцијали и други чувствителни информации.
Американската агенција за сајбер-безбедност и инфраструктура (CISA) додаде неодамна објавена безбедносна ранливост што зафаќа повеќе Fortinet платформи за мрежна безбедност и менаџмент во својот каталог на познати експлоатирани ранливости (KEV), наведувајќи докази за активна експлоатација.

Ранливоста, следена како CVE‑2025‑59718 (CVSS оценка: 9.1), е една од двете критични ранливости за заобиколување на автентикација — другата е CVE‑2025‑59719 (CVSS оценка: 9.1) — кои Fortinet ги објави на 9 декември, за своите производи FortiOS, FortiWeb, FortiProxy и FortiSwitchManager.

Заобиколување на автентикација

Двете ранливости му овозможуваат на неавтентификуван напаѓач да ја заобиколи SSO автентикацијата за најава користејќи специјално изработени SAML пораки, кога е овозможена функцијата FortiCloud SSO. Ранливостите се поврзани со неправилна верификација на криптографски потписи и им даваат можност на заканувачките актери да преземат администраторска контрола над погодените уреди без валидни контроли.

Ваквите ранливости често се таргет на напаѓачи бидејќи успешната експлоатација може да им даде контрола врз целата мрежна периферија и протокот на сообраќај во една организација. Тие претставуваат „значителен ризик за федералните институции“, соопшти CISA во своето известување за додавање на CVE‑2025‑59718 во KEV каталогот. Федералните цивилни извршни агенции мора да ја закрпат ранливоста до 23 декември или да престанат со користење на погодените Fortinet производи сè додека проблемот не биде отстранет според упатствата на производителот.

Според Arctic Wolf, нападите насочени кон двете ранливости започнале уште на 12 декември, само три дена откако Fortinet ги објави. Истражувачите од оваа безбедносна компанија забележале упади што вклучуваат малициозни SSO најави на FortiGate уреди, кои потекнувале од мал број хостинг провајдери со IP адреси геолоцирани во Германија, САД и Азија.

Малициозните најави главно биле насочени кон администраторски сметки. По успешното заобиколување на автентикацијата, напаѓачите ги извезувале конфигурациите на уредите, вклучувајќи хаширани креденцијали и други чувствителни информации, кон истите IP адреси што биле користени за почетниот упад, според Arctic Wolf.

Во своето советодавно известување, Fortinet наведе дека FortiCloud SSO е исклучен по дифолт во фабричките поставки. Сепак, функцијата автоматски се активира кога администраторите ги регистрираат уредите преку графичкиот интерфејс користејќи FortiCare. „Доколку администраторот не го исклучи прекинувачот Allow administrative login using FortiCloud SSO на страницата за регистрација, FortiCloud SSO логирањето е овозможено по самата регистрација“, соопшти Fortinet. Овој дизајнерски избор можеби оставил повеќе уреди ранливи отколку што организациите биле свесни. „Заканувачките актери често ги таргетираат менаџмент интерфејсите на firewall и VPN уреди за масовна експлоатација, често потпирајќи се на специјализирани пребарувачи кои овозможуваат идентификација на специфични хардверски конфигурации“, забележаа истражувачите од Arctic Wolf.

Потреба од брза реакција

Fortinet објави безбедносни поправки за повеќе производни линии. За FortiOS, закрпите се достапни во верзиите 7.6.4, 7.4.9, 7.2.12 и 7.0.18 или понови. Слични поправки се достапни и за FortiProxy, FortiSwitchManager и FortiWeb. Вреди да се напомене дека FortiOS 6.4, FortiWeb 7.0 и FortiWeb 7.2 не се погодени од овие ранливости.

Организациите што не можат веднаш да применат закрпи можат да имплементираат привремено решение со исклучување на FortiCloud логирањето преку системските поставки или преку командната линија, соопшти Fortinet. Компанијата препорачува погодените организации да го направат ова сè додека не можат да се надградат на непогодени верзии.

„Закрпувањето на Fortinet уредите бара одржувачки прозорци за да се избегнат прекини во продукција, но непосредниот ризик не е брзината на закрпување, туку изложеноста на менаџмент интерфејсите свртени кон интернет“, изјави Piyush Sharma, извршен директор и коосновач на Tuskira, за Dark Reading. Тој додава дека организациите можат веднаш да имплементираат заобиколни мерки со исклучување на HTTP/HTTPS администраторскиот пристап или негово ограничување само на доверливи IP адреси додека се тестираат закрпите. Долгорочната одбрана, според него, бара континуирана валидација преку реално‑временско следење на индикатори за компромис (IoC), како неовластени администраторски сметки, сомнителни jsconsole сесии и неочекувана SSL VPN автентикација.

Arctic Wolf им препорачува на погодените организации да претпостават дека нивните креденцијали се компромитирани доколку забележат сомнителна активност што одговара на обрасците поврзани со овие напади. Компанијата советува веднаш да се ресетираат firewall креденцијалите и што е можно побрзо да се надградат погодените производи на закрпени верзии. „Иако креденцијалите обично се хаширани во конфигурациите на мрежните апарати, познато е дека заканувачите ги кршат хашевите офлајн, особено ако лозинките се слаби и подложни на речнички напади“, потсетија од безбедносната компанија.

„Fortinet уредите се цели со висока вредност бидејќи контролираат firewall политики, VPN пристап и рутирање на сообраќајот на мрежната периферија“, вели Sharma, советувајќи организациите навремено да применат закрпи. Еден единствен компромис може да им овозможи на напаѓачите да креираат злонамерни сметки, да ги изменат безбедносните политики и да воспостават SSL VPN тунели за латерално движење. „Во тековната кампања, напаѓачите крадат конфигурациски фајлови што содржат мрежна топологија и креденцијали за поддршка на идни напади, без потреба од автентикација доколку менаџмент интерфејсите се изложени.“

Извори:

• Dark Reading – Critical Fortinet Flaws Under Active Attack Dark Reading