Fortinet закрыла критические уязвимости SSO в FortiCloud

В декабре 2025 года Fortinet сообщила о выявлении двух critical уязвимостей в функции единого входа FortiCloud SSO, получивших идентификаторы CVE-2025-59718 и CVE-2025-59719. Проблемы были обнаружены в ходе внутреннего аудита кода и, по данным компании, могут позволить обойти механизмы безопасности, создавая риск несанкционированного доступа к конфиденциальным функциям.

Что известно об уязвимостях

Согласно опубликованным рекомендациям Fortinet, речь идет о недостатках в логике SSO, которые в потенциальном сценарии эксплуатации могут быть использованы для обхода защитных механизмов. Это особенно опасно для сред, где FortiCloud и связанные с ним сервисы используются для централизованного управления доступом и административными функциями.

Отдельно отмечается, что в advisory также включены indicators of compromise (IOCs), призванные помочь клиентам выявить возможные попытки вредоносной активности в инфраструктуре.

На что обратить внимание в журналах

Анализ, сопровождающий рекомендации, указывает на конкретную запись в журнале, связанную с вредоносными событиями входа. Это делает мониторинг access logs одним из ключевых элементов проверки на признаки компрометации.

• контроль событий входа в систему;
• поиск подозрительных записей в журналах доступа;
• сопоставление активности с опубликованными IOCs;
• проверка административных действий и изменений в конфигурации.

Рекомендации по снижению риска

Fortinet рекомендует в первую очередь исключить возможность дальнейшей эксплуатации уязвимостей за счет обновления устройств до последней версии firmware — 7.6. По словам компании, именно эта версия включает расширенные security-функции.

Дополнительно предлагается внедрить меры, ограничивающие административный доступ на основе известных вредоносных IP-адресов, а также разрешать управление только по HTTPS из заранее определенных подсетей, например 10.10.10.0/24. Такой подход подчеркивает необходимость адаптировать меры защиты к конкретной network environment.

Что делать при подозрении на компрометацию

Если существует вероятность успешной эксплуатации CVE-2025-59718 или CVE-2025-59719, организациям рекомендуется считать изменения конфигурации потенциально скомпрометированными. В этом случае необходимо:

• восстановить конфигурации из проверенных clean backups;
• провести audit на предмет несанкционированных изменений;
• проверить наличие неожиданных administrator accounts;
• проанализировать изменения в VPN settings;
• срочно выполнить rotation credentials, включая учетные данные для LDAP и Active Directory, если они интегрированы с устройствами FortiGate.

Почему это важно

По сути, рекомендации Fortinet сводятся к двум приоритетам: быстро закрыть уязвимости обновлением и оперативно проверить инфраструктуру на признаки вмешательства. В случае с системами, связанными с централизованной аутентификацией и административным управлением, подобные инциденты могут затронуть не только отдельное устройство, но и всю network security posture организации.

«Изменения конфигурации следует считать скомпрометированными» — этот подход фактически требует от администраторов действовать исходя из худшего сценария и не ограничиваться только установкой обновлений.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.