Секунды на взлом и никаких паролей. Хакеры начали массовую атаку на сетевые экраны Fortinet
NewsMakerКиберпреступники начали эксплуатировать бреши в системе аутентификации SAML для обхода паролей.
Специалисты Arctic Wolf зафиксировали новую волну атак на сетевые экраны Fortinet FortiGate. Злоумышленники массово меняют настройки устройств, получая несанкционированный доступ к системам и закрепляясь в инфраструктуре организаций, причём все это происходит практически без участия человека.
Активность началась 15 января 2026 года. Атаки выглядят как полностью автоматизированная кампания. Сначала злоумышленники входят в систему через учётные записи с поддержкой единого входа, затем создают дополнительные технические аккаунты для постоянного доступа, меняют настройки, чтобы открыть им доступ к виртуальным частным сетям, и выгружают конфигурации сетевых экранов. В Arctic Wolf отмечают, что все действия выполняются в течение нескольких секунд, что указывает на использование скриптов и автоматических инструментов.
Текущая кампания очень похожа на атаку, о которой компания уже сообщала в декабре 2025 года. Тогда также фиксировались входы администраторов через систему единого входа, после чего происходили изменения конфигураций и утечка данных с устройств FortiGate.
Специалисты напоминают, что в начале декабря Fortinet опубликовала предупреждение о двух критических уязвимостях , позволявших обходить проверку подлинности при входе через единый вход. Уязвимости были зарегистрированы под идентификаторами CVE-2025-59718 и CVE-2025-59719 . Они позволяли злоумышленникам авторизоваться без пароля при использовании специально сформированных SAML-сообщений (Security Assertion Markup Language), если на устройстве была включена функция FortiCloud SSO. Под угрозой оказались сразу несколько продуктов компании, включая FortiOS, FortiWeb, FortiProxy и FortiSwitchManager.
Пока неизвестно, связана ли новая волна атак напрямую с этими уязвимостями и полностью ли она закрывается установленными обновлениями. В Arctic Wolf подчёркивают, что метод первоначального проникновения ещё точно не установлен.
В рамках атак злоумышленники используют типовые учётные записи вроде « cloud-init@mail.io » и создают новые аккаунты с названиями secadmin, itadmin, support, backup, remoteadmin, audit. После входа в систему они скачивают конфигурационные файлы сетевых экранов и настраивают дополнительные параметры доступа.
Специалисты предупреждают, что даже если пароли в конфигурациях хранятся в виде хэшей, их могут попытаться взломать офлайн, особенно если используются слабые пароли. Поэтому при признаках компрометации рекомендуется срочно менять учётные данные администраторов и сервисных аккаунтов.
В качестве временной меры специалисты советуют рассмотреть отключение входа через FortiCloud SSO, если он используется, до появления дополнительных разъяснений и обновлений от Fortinet. Также компаниям рекомендуют ограничивать доступ к интерфейсам управления сетевыми устройствами только доверенными внутренними сетями, так как именно эти точки чаще всего становятся целями массовых атак.
Специалисты Arctic Wolf зафиксировали новую волну атак на сетевые экраны Fortinet FortiGate. Злоумышленники массово меняют настройки устройств, получая несанкционированный доступ к системам и закрепляясь в инфраструктуре организаций, причём все это происходит практически без участия человека.
Активность началась 15 января 2026 года. Атаки выглядят как полностью автоматизированная кампания. Сначала злоумышленники входят в систему через учётные записи с поддержкой единого входа, затем создают дополнительные технические аккаунты для постоянного доступа, меняют настройки, чтобы открыть им доступ к виртуальным частным сетям, и выгружают конфигурации сетевых экранов. В Arctic Wolf отмечают, что все действия выполняются в течение нескольких секунд, что указывает на использование скриптов и автоматических инструментов.
Текущая кампания очень похожа на атаку, о которой компания уже сообщала в декабре 2025 года. Тогда также фиксировались входы администраторов через систему единого входа, после чего происходили изменения конфигураций и утечка данных с устройств FortiGate.
Специалисты напоминают, что в начале декабря Fortinet опубликовала предупреждение о двух критических уязвимостях , позволявших обходить проверку подлинности при входе через единый вход. Уязвимости были зарегистрированы под идентификаторами CVE-2025-59718 и CVE-2025-59719 . Они позволяли злоумышленникам авторизоваться без пароля при использовании специально сформированных SAML-сообщений (Security Assertion Markup Language), если на устройстве была включена функция FortiCloud SSO. Под угрозой оказались сразу несколько продуктов компании, включая FortiOS, FortiWeb, FortiProxy и FortiSwitchManager.
Пока неизвестно, связана ли новая волна атак напрямую с этими уязвимостями и полностью ли она закрывается установленными обновлениями. В Arctic Wolf подчёркивают, что метод первоначального проникновения ещё точно не установлен.
В рамках атак злоумышленники используют типовые учётные записи вроде « cloud-init@mail.io » и создают новые аккаунты с названиями secadmin, itadmin, support, backup, remoteadmin, audit. После входа в систему они скачивают конфигурационные файлы сетевых экранов и настраивают дополнительные параметры доступа.
Специалисты предупреждают, что даже если пароли в конфигурациях хранятся в виде хэшей, их могут попытаться взломать офлайн, особенно если используются слабые пароли. Поэтому при признаках компрометации рекомендуется срочно менять учётные данные администраторов и сервисных аккаунтов.
В качестве временной меры специалисты советуют рассмотреть отключение входа через FortiCloud SSO, если он используется, до появления дополнительных разъяснений и обновлений от Fortinet. Также компаниям рекомендуют ограничивать доступ к интерфейсам управления сетевыми устройствами только доверенными внутренними сетями, так как именно эти точки чаще всего становятся целями массовых атак.