В начале 2026 года злоумышленники эксплуатировали уязвимости в Fortinet FortiGate NGFW, которые давали шанс получить админ-доступ и закрепиться в сети. Речь про три критические ошибки с оценкой 9,8 из 10, и Fortinet уже выпустила патчи.
Наблюдения за атаками относятся к периоду декабрь 2025 — февраль 2026. По зафиксированным случаям атаки остановили до того, как они нанесли заметный ущерб.
Какие CVE закрыли и как работала атака
Две уязвимости, CVE-2025-59718 и CVE-2025-59719, связаны с некорректной проверкой криптографических подписей. В практическом сценарии это открывало дорогу неаутентифицированному атакующему: можно было отправить специально сформированный SAML-токен и получить административный доступ к устройству без валидных учётных данных.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Третья проблема, CVE-2026-24858, тоже получила 9,8/10. Её использовали как 0-day в начале 2026 года. Она давала вход в FortiGate с использованием совершенно другого аккаунта, то есть обходила ожидаемую модель доступа.
В сумме это неприятный набор: админка на периметре, плюс возможность закрепиться и дальше двигаться по сети.
Что сделала Fortinet и почему это срочно для бизнеса
После появления сведений об эксплуатации уязвимостей Fortinet сначала приостановила FortiCloud SSO, а затем выпустила обновление прошивки, закрывающее проблемы.
Отдельно важно, что CVE-2025-59718 в конце января 2026 добавили в каталог CISA KEV (Known Exploited Vulnerabilities). Это прямой сигнал, что уязвимость уже применяли в реальных атаках, а не обсуждали «в теории».
Какие меры рекомендуют после установки патча
Одного обновления прошивки может быть мало, если атакующий успел закрепиться. Поэтому после установки патчей компании призывают провести базовую «санитарную обработку» доступа и мониторинга.
- Ротация учётных данных: сменить LDAP и AD-пароли, связанные с FortiGate, особенно при подозрении на компрометацию.
- Контроль админ-доступа: ужесточить правила доступа администраторов и убрать слабые или дефолтные пароли на пограничных устройствах.
- Мониторинг локальных админов: отслеживать попытки создания несанкционированных локальных админ-аккаунтов.
- Проверка доменных настроек: аудит mS-DS-MachineAccountQuota, чтобы ограничить несанкционированное добавление рабочих станций в домен.
- Телеметрия EDR: внимательно смотреть EDR-события с серверов, которые «соседствуют» с NGFW.
Параллельно исследователи отмечали в атакующих сценариях попытки закрепления и lateral movement (перемещение по сети), так что мониторинг после патча тут не формальность.
Уязвимости CVE-2025-59718, CVE-2025-59719 и CVE-2026-24858 закрыли прошивками FortiGate после атак, замеченных в период декабрь 2025 — февраль 2026, а CVE-2025-59718 попала в CISA KEV в конце января 2026 года.
Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.
Fortinet закрыла критические баги FortiGate: риск захвата админки ⚡️