СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
19 декабря
#ИБ

Критические уязвимости обхода аутентификации FortiGate SSO

Недавний анализ выявил активно используемые уязвимости обхода аутентификации в системе единого входа FortiGate (SSO), представляющие существенный риск для организаций, эксплуатирующих устройства FortiNet. Злоумышленники фиксируют массовые попытки входа, преимущественно на административные учётные записи, что требует немедленной реакции со стороны ИТ‑команд.

Краткое содержание инцидента

Исследователи обнаружили серию вредоносных попыток несанкционированного доступа через механизмы SSO на устройствах FortiGate. Характер атак указывает на целенаправленное сканирование и подбор административных учётных данных — действия, которые могут привести к полномочному доступу и дальнейшей компрометации сети.

«Продолжающееся использование этих слабых мест позволяет предположить, что злоумышленники активно стремятся скомпрометировать устройства, делая своевременные обновления и меры безопасности критически важными для обеспечения целостности сетевой защиты.»

Почему это опасно

  • Компрометация административной учётной записи на FortiGate даёт злоумышленнику возможность менять политики безопасности, перенаправлять трафик и получать доступ к внутренним ресурсам.
  • SSO используется для централизованной аутентификации; уязвимость в этом компоненте расширяет эффект атаки на множество сервисов и пользователей.
  • Если атака остаётся незамеченной, злоумышленник может установить персистентность, маскировать свою активность и использовать устройство как плацдарм для дальнейших атак.

Рекомендации по немедленным действиям

Организациям следует действовать оперативно — при обнаружении подозрительных входов необходимо выполнить следующие шаги:

  • Сбросить учётные данные брандмауэра (пароли административных аккаунтов) и проверить все связанные учётные записи.
  • Начать всестороннее расследование инцидента для оценки степени возможной компрометации: логи, изменение конфигураций, наличие посторонних пользователей и процессов.
  • Ограничить доступ к интерфейсам управления FortiNet только доверенными IP‑адресами (Management Interface Whitelisting).
  • Обновиться до последней исправленной версии прошивки FortiGate — это критический шаг для устранения известных уязвимостей и предотвращения их повторного использования.
  • Включить многофакторную аутентификацию (MFA) для административных и критичных учётных записей, если это поддерживается устройством и инфраструктурой.
  • Усилить мониторинг: настроить и проанализировать логи доступа, попытки входа, а также индикацию аномалий в поведении администраторов.
  • Изолировать подозрительные устройства до завершения расследования и восстановления доверенной конфигурации.
  • Сообщить в службу поддержки поставщика и при необходимости подключить команду Incident Response для координации мер и обмена индикаторами компрометации (IOCs).

Что делать при обнаружении признаков компрометации

Если выявлены следы успешного доступа или неизвестные изменения в конфигурации:

  • Срочно отключить проблемное устройство от критических сетей или перевести в ограниченный режим.
  • Сохранить все логи и конфигурационные снимки для форензики.
  • Провести проверку целостности прошивки и конфигураций; при сомнениях — перепрошить устройство из доверенного источника.
  • Оповестить руководство и при необходимости регуляторов в соответствии с политиками инцидент‑менеджмента.

Вывод

Атаки на уязвимости обхода аутентификации в FortiGate (SSO) являются реальной и текущей угрозой. Своевременные обновления прошивки, строгая сегментация доступа к интерфейсам управления, сброс скомпрометированных учётных данных и тщательное расследование инцидентов — ключевые меры, которые помогут снизить риски и сохранить целостность сети. Организации не должны откладывать эти действия: промедление повышает вероятность успешной компрометации и последующих повреждений.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: