Массовые SSO-взломы FortiGate после CVE-2025-59718/59719

Специалисты Arctic Wolf 12 декабря 2025 года обнаружили волну вредоносных попыток входа через единую систему аутентификации (SSO), направленных на устройства FortiGate. Анализ указывает на целенаправленную кампанию: атаки исходили с множества хостов, распределённых по разным хостинг-провайдерам, что свидетельствует о массовой эксплуатации недавно раскрытых уязвимостей CVE-2025-59718 и CVE-2025-59719.

«Данная активность предполагает использование существующих уязвимостей и требует немедленных действий со стороны затронутых организаций», — отмечают специалисты Arctic Wolf.

Что произошло

По данным расследования, злоумышленники организовали автоматизированные попытки входа через SSO на FortiGate appliances, стремясь получить доступ к административным интерфейсам и VPN. Масштаб и распределение источников указывают на координированную кампанию, ориентированную на массовую эксплуатацию устройств с определёнными конфигурациями.

Ключевые выводы

• Дата обнаружения: 12 декабря 2025 года.
• Цель: попытки вредоносного входа через SSO на FortiGate appliances.
• Используемые уязвимости: CVE-2025-59718 и CVE-2025-59719.
• Происхождение активности: разные хостинг-провайдеры — признак целенаправленной кампании.
• Атакующие фокусируются на интерфейсах управления брандмауэрами и VPN.
• Злоумышленники используют специализированные search engines для массового поиска подходящих конфигураций и последующей эксплуатации.

Почему это опасно

При выявлении аналогичной вредоносной активности рекомендуется предположить, что учётные данные брандмауэра могли быть раскрыты, в том числе те, которые хранятся в виде хэшей в скомпрометированных конфигурациях. Получив доступ к административным интерфейсам, злоумышленники могут изменить правила, настроить backdoor-доступ или получить доступ к VPN-сессиям и внутренним ресурсам организации.

Рекомендации для организаций

Эксперты безопасности настоятельно рекомендуют предпринять следующие шаги немедленно:

• Сбросить учетные данные брандмауэра. Предполагая компрометацию, замените пароли и ключи доступа.
• Ограничить доступ к интерфейсам управления только доверенным внутренним пользователям и администрируемым сетям (VPN, jump hosts, управление по IP allowlist).
• Мониторить и расследовать попытки входа через SSO — обращать внимание на аномальную активность и источник подключений.
• Проверить конфигурации на предмет утечек хэшей и других секретов; при обнаружении — считать их скомпрометированными и поменять.
• Ограничить видимость критичных интерфейсов в интернете и использовать multi-factor authentication для административных аккаунтов.
• Анализировать логи и индикаторы компрометации, а также блокировать подозрительные IP-диапазоны и инфраструктуру, замеченную в атаке.
• Обновить и патчить устройства в соответствии с рекомендациями производителя, если доступны исправления для CVE-2025-59718 и CVE-2025-59719.

Практические меры по снижению риска

• Использовать сегментацию сети для отделения management-интерфейсов от общего доступа.
• Внедрить жёсткие политики доступа (least privilege) для администраторов FortiGate.
• Ограничить использование SSO для критичных административных операций, если нельзя обеспечить надёжную защиту и мониторинг.
• Периодически проводить аудит конфигураций и сканирование на предмет публично доступных management-интерфейсов с помощью внутренних security tools.

Вывод

Зафиксированная Arctic Wolf кампания подтверждает, что эксплуатация уязвимостей CVE-2025-59718 и CVE-2025-59719 представляет реальную и текущую угрозу для владельцев FortiGate appliances. Организациям следует проявлять повышенную бдительность, считать возможной компрометацию учётных данных брандмауэра и немедленно реализовать рекомендованные защитные меры для минимизации риска дальнейших несанкционированных доступов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.