От входа в FortiGate до полной власти за 10 минут. Разбираем новые сценарии захвата корпоративных сетей
NewsMakerКак одна ошибка в настройке устройства приводит к потере контроля над всеми данными.
Взлом сетевого устройства на границе сети может быстро привести злоумышленника к контроллерам домена и ключевым данным компании. В начале 2026 года специалисты зафиксировали несколько атак, где злоумышленники использовали уязвимости в межсетевых экранах FortiGate , чтобы проникнуть в корпоративные сети и развивать атаку уже внутри инфраструктуры.
Команда SentinelOne разбирала несколько подобных случаев. Во всех эпизодах злоумышленники сначала получали доступ к устройствам FortiGate Next-Generation Firewall, после чего начинали перемещение по сети. Атаки удалось обнаружить именно на этапе внутреннего распространения.
В период расследований компания Fortinet закрыла несколько опасных уязвимостей. CVE-2025-59718 и CVE-2025-59719 затрагивали механизм единого входа . Из-за отсутствия проверки криптографической подписи злоумышленник мог отправить специально подготовленный SSO-токен и получить административный доступ без аутентификации. Ещё одна уязвимость, CVE-2026-24858, позволяла входить в устройства FortiGate при включённой авторизации через FortiCloud. В некоторых случаях злоумышленники входили с помощью собственных учётных записей FortiCloud. Также фиксировались попытки входа с использованием распространённых слабых паролей.
После получения доступа злоумышленник выгружал файл конфигурации устройства командой show full-configuration. Такой файл содержит структуру сети и учётные данные служебных учётных записей. Поскольку система FortiOS использует обратимое шифрование, злоумышленник может расшифровать файл и получить логины и пароли.
Взлом сетевого устройства на границе сети может быстро привести злоумышленника к контроллерам домена и ключевым данным компании. В начале 2026 года специалисты зафиксировали несколько атак, где злоумышленники использовали уязвимости в межсетевых экранах FortiGate , чтобы проникнуть в корпоративные сети и развивать атаку уже внутри инфраструктуры.
Команда SentinelOne разбирала несколько подобных случаев. Во всех эпизодах злоумышленники сначала получали доступ к устройствам FortiGate Next-Generation Firewall, после чего начинали перемещение по сети. Атаки удалось обнаружить именно на этапе внутреннего распространения.
В период расследований компания Fortinet закрыла несколько опасных уязвимостей. CVE-2025-59718 и CVE-2025-59719 затрагивали механизм единого входа . Из-за отсутствия проверки криптографической подписи злоумышленник мог отправить специально подготовленный SSO-токен и получить административный доступ без аутентификации. Ещё одна уязвимость, CVE-2026-24858, позволяла входить в устройства FortiGate при включённой авторизации через FortiCloud. В некоторых случаях злоумышленники входили с помощью собственных учётных записей FortiCloud. Также фиксировались попытки входа с использованием распространённых слабых паролей.
После получения доступа злоумышленник выгружал файл конфигурации устройства командой show full-configuration. Такой файл содержит структуру сети и учётные данные служебных учётных записей. Поскольку система FortiOS использует обратимое шифрование, злоумышленник может расшифровать файл и получить логины и пароли.