1. Главная
  2. Новости
  3. Новая волна автоматизированных атак взламывает конфигурации FortiGate через SSO-входы

Новая волна автоматизированных атак взламывает конфигурации FortiGate через SSO-входы

Новая волна автоматизированных атак взламывает конфигурации FortiGate через SSO-входы

Специалисты по кибербезопасности зафиксировали активную кампанию злоумышленников, нацеленную на устройства Fortinet FortiGate - популярные корпоративные фаерволы. Атаки начались примерно с 15 января 2026 года и используют обход аутентификации через Single Sign-On (SSO), что позволяет атакующим получать несанкционированный доступ и изменять настройки безопасности устройств.

Злоумышленники осуществляют входы через SSO-учётные записи без прохождения проверки, после чего создают новые административные аккаунты, расширяют доступ, в том числе VPN-права, и экспортируют конфигурации фаерволов на свои сервера. Такие конфигурационные файлы содержат критичные сетевые настройки и данные, которые могут быть использованы для последующих атак или обхода защиты.

Эксперты отмечают, что наблюдаемая активность во многом напоминает кампанию, начатую в декабре 2025 года, когда были впервые зафиксированы вредоносные SSO-входы на FortiGate после раскрытия двух критических уязвимостей Fortinet. Эти уязвимости - CVE-2025-59718 и CVE-2025-59719 - позволяют обходить аутентификацию FortiCloud SSO с помощью специально сформированных SAML-сообщений, если эта функция включена.

Хотя Fortinet выпустил обновления для устранения этих проблем, сообщения от администраторов указывают, что уязвимости частично остаются эксплуатируемыми даже на обновлённых версиях программного обеспечения, и атаки продолжаются.

На данный момент события рассматриваются как развивающаяся угроза, и поставщики средств безопасности уже внедрили правила обнаружения подобных действий, чтобы своевременно предупреждать администраторов о наличии подозрительной активности на фаерволах.

Специалисты рекомендуют немедленно проверять состояние FortiGate-устройств, отключать небезопасные функции SSO, если они включены, и оперативно применять все доступные обновления прошивок, чтобы снизить риски несанкционированного доступа и конфигурационных изменений.

РЕКОМЕНДУЕМ

похожие материалы

Стрелочка
Стрелочка
Исследователи зафиксировали рост кооперации политически мотивированных хакерских группировок
Исследователи зафиксировали рост кооперации политически мотивированных хакерских группировок

Центр мониторинга и реагирования на киберугрозы RED Security SOC сообщил о формировании устойчивого тренда на кооперацию политически мотивированных хакерских группировок при атаках на российский бизнес.

подробнее Стрелочка
Минцифры планирует создать площадку для тестирования ИИ на безопасность
Минцифры планирует создать площадку для тестирования ИИ на безопасность

Для систем искусственного интеллекта высокого и критического уровня риска потребуется получать сертификат на соответствие требованиям безопасности Федеральной службы по техническому и экспертному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ).

подробнее Стрелочка
BeyondTrust выпустила патч для устранения критической уязвимости
BeyondTrust выпустила патч для устранения критической уязвимости

По данным официального бюллетеня безопасности, компания BeyondTrust опубликовала предупреждение о критической уязвимости в продуктах Remote Support и Privileged Remote Access, позволяющей злоумышленнику удалённо выполнить произвольный код без предварительной аутентификации.

подробнее Стрелочка
Эксперты прогнозируют увеличение объема рынка облачных сервисов до более 1 трлн рублей
Эксперты прогнозируют увеличение объема рынка облачных сервисов до более 1 трлн рублей

Объем российского рынка облачных сервисов к 2030 году достигнет 1,2 трлн рублей при среднегодовых темпах роста в 24,4%, говорится в предварительных оценках компаний РТК-ЦОД и iKS-Consulting.

подробнее Стрелочка