Секунды на взлом и никаких паролей. Хакеры начали массовую атаку на сетевые экраны Fortinet
NewsMakerКиберпреступники начали эксплуатировать бреши в системе аутентификации SAML для обхода паролей.
Специалисты Arctic Wolf зафиксировали новую волну атак на сетевые экраны Fortinet FortiGate. Злоумышленники массово меняют настройки устройств, получая несанкционированный доступ к системам и закрепляясь в инфраструктуре организаций, причём все это происходит практически без участия человека.
Активность началась 15 января 2026 года. Атаки выглядят как полностью автоматизированная кампания. Сначала злоумышленники входят в систему через учётные записи с поддержкой единого входа, затем создают дополнительные технические аккаунты для постоянного доступа, меняют настройки, чтобы открыть им доступ к виртуальным частным сетям, и выгружают конфигурации сетевых экранов. В Arctic Wolf отмечают, что все действия выполняются в течение нескольких секунд, что указывает на использование скриптов и автоматических инструментов.
Текущая кампания очень похожа на атаку, о которой компания уже сообщала в декабре 2025 года. Тогда также фиксировались входы администраторов через систему единого входа, после чего происходили изменения конфигураций и утечка данных с устройств FortiGate.
Специалисты напоминают, что в начале декабря Fortinet опубликовала предупреждение о двух критических уязвимостях , позволявших обходить проверку подлинности при входе через единый вход. Уязвимости были зарегистрированы под идентификаторами CVE-2025-59718 и CVE-2025-59719 . Они позволяли злоумышленникам авторизоваться без пароля при использовании специально сформированных SAML-сообщений (Security Assertion Markup Language), если на устройстве была включена функция FortiCloud SSO. Под угрозой оказались сразу несколько продуктов компании, включая FortiOS, FortiWeb, FortiProxy и FortiSwitchManager.
Специалисты Arctic Wolf зафиксировали новую волну атак на сетевые экраны Fortinet FortiGate. Злоумышленники массово меняют настройки устройств, получая несанкционированный доступ к системам и закрепляясь в инфраструктуре организаций, причём все это происходит практически без участия человека.
Активность началась 15 января 2026 года. Атаки выглядят как полностью автоматизированная кампания. Сначала злоумышленники входят в систему через учётные записи с поддержкой единого входа, затем создают дополнительные технические аккаунты для постоянного доступа, меняют настройки, чтобы открыть им доступ к виртуальным частным сетям, и выгружают конфигурации сетевых экранов. В Arctic Wolf отмечают, что все действия выполняются в течение нескольких секунд, что указывает на использование скриптов и автоматических инструментов.
Текущая кампания очень похожа на атаку, о которой компания уже сообщала в декабре 2025 года. Тогда также фиксировались входы администраторов через систему единого входа, после чего происходили изменения конфигураций и утечка данных с устройств FortiGate.
Специалисты напоминают, что в начале декабря Fortinet опубликовала предупреждение о двух критических уязвимостях , позволявших обходить проверку подлинности при входе через единый вход. Уязвимости были зарегистрированы под идентификаторами CVE-2025-59718 и CVE-2025-59719 . Они позволяли злоумышленникам авторизоваться без пароля при использовании специально сформированных SAML-сообщений (Security Assertion Markup Language), если на устройстве была включена функция FortiCloud SSO. Под угрозой оказались сразу несколько продуктов компании, включая FortiOS, FortiWeb, FortiProxy и FortiSwitchManager.