Уязвимости FortiGate: Брандмауэры становятся плацдармом для сложных сетевых вторжений
Кибербезопасность столкнулась с тревожной кампанией, в ходе которой злоумышленники целенаправленно атакуют межсетевые экраны FortiGate нового поколения. Как сообщает компания SentinelOne, целью является получение первоначального доступа в корпоративные сети. Для компрометации этих периметровых устройств используются недавно раскрытые критические уязвимости, включая CVE-2025-59718, CVE-2025-59719 и CVE-2026-24858, либо подбираются слабые учетные данные администратора.
После успешного взлома основной задачей злоумышленников становится извлечение конфигурационных файлов устройства. Эти файлы представляют собой настоящую сокровищницу для атакующих, содержащую учетные данные сервисных аккаунтов и детальные карты сетевой топологии. Кампания демонстрирует четкий выбор целей: под прицелом оказываются организации здравоохранения, государственные структуры и управляемые сервис-провайдеры. Такая избирательность указывает на мотивы, связанные с кражей данных, шпионажем или подготовкой к атаке вымогателями.
Власть скомпрометированного устройства FortiGate проистекает из его привилегированного положения в сети. Как поясняют исследователи, эти брандмауэры часто имеют широкий доступ к внутренней инфраструктуре, которую призваны защищать. Во многих корпоративных средах они интегрированы с системами аутентификации, такими как Microsoft Active Directory.
Эта интеграция, предназначенная для эффективного управления политиками безопасности, превращается в катастрофическую уязвимость после взлома самого брандмауэра. Полученные учетные данные и сетевые схемы предоставляют злоумышленникам четкий план для горизонтального перемещения по сети. Обладая легитимными учетными данными домена, атакующие могут скрытно аутентифицироваться на внутренних системах.
Детальный анализ инцидента, произошедшего в ноябре 2025 года, иллюстрирует цепочку атаки. После проникновения в устройство FortiGate злоумышленники создали новую локальную учетную запись администратора с именем "support". Затем были созданы четыре новые политики брандмауэра, предоставившие этой учетной записи неограниченный доступ ко всем сегментам сети, что открыло путь для дальнейшего глубокого вторжения.
