3,2 milliondan ortiq Fortinet qurilmalari xavf ostida: FortiCloud SSO’dagi kritik zaiflik faol ekspluatatsiya qilinmoqda

Dunyo bo‘ylab internetga ochiq holda ishlayotgan 3 280 081 dan ortiq Fortinet qurilmalari jiddiy kiberxavf ostida qolmoqda. Sababi — Fortinet mahsulotlarida aniqlangan va real hujumlarda faol qo‘llanilayotgan CVE-2026-24858 nomli o‘ta xavfli autentifikatsiyani chetlab o‘tish (authentication bypass) zaifligidir.

Ushbu zaiflik CVSS shkalasi bo‘yicha 9.4 (Critical) bahoga ega bo‘lib, Fortinet’ning quyidagi asosiy mahsulotlariga ta’sir qiladi:

  • FortiOS
  • FortiManager
  • FortiAnalyzer
  • FortiProxy
  • FortiWeb

Bu mahsulotlar esa ko‘plab tashkilotlarda tarmoq xavfsizligi, log tahlili, trafik filtrlash va boshqaruvning markaziy komponenti sifatida ishlatiladi.

Zaiflik nimada?

CVE-2026-24858 zaifligi FortiCloud SSO (Single Sign-On) funksiyasi bilan bog‘liq. Ushbu funksiya orqali administratorlar FortiCloud akkaunti yordamida qurilmalarga kirishlari mumkin.

Muammo shundaki:

Agar hujumchida oddiy FortiCloud akkaunti va ro‘yxatdan o‘tgan bitta qurilma bo‘lsa, u boshqa tashkilotlarga tegishli Fortinet qurilmalariga ham autentifikatsiyadan o‘tib kira oladi — agar ularda FortiCloud SSO yoqilgan bo‘lsa.

Aslida bu funksiya standart holatda o‘chirilgan bo‘ladi. Biroq amaliyotda ko‘plab administratorlar FortiCare ro‘yxatdan o‘tkazish jarayonida “Allow administrative login using FortiCloud SSO” opsiyasini bexosdan yoqib qo‘yishadi va uni o‘chirib qo‘yishni unutishadi.

Natijada, qurilma internetga ochiq bo‘lsa, hujumchi uni masofadan turib boshqarish imkoniyatiga ega bo‘ladi.

Hujumlar allaqachon aniqlangan

Fortinet 2026-yil 22-yanvarda ushbu zaiflik real hujumlarda qo‘llanilganini rasman tasdiqladi. Tahlillar davomida ikki zararli FortiCloud akkaunt aniqlangan:

Hujumchilar ushbu zaiflikdan foydalanib:

  • qurilma konfiguratsiyalarini yuklab olishgan,
  • tizimda doimiy kirish (persistence) o‘rnatishgan,
  • yangi lokal administrator akkauntlarini yaratishgan.

Yaratilgan administrator nomlari odatda shubha uyg‘otmaydigan quyidagi ko‘rinishda bo‘lgan:

audit, backup, itadmin, secadmin, support, svcadmin, system

Bu esa ko‘plab tizimlarda ushbu zararli akkauntlar uzoq vaqt sezilmay qolishiga sabab bo‘lgan.

CISA ogohlantirishi va favqulodda muddat

AQShning Kiberxavfsizlik va infratuzilma xavfsizligi agentligi — CISA 2026-yil 27-yanvarda ushbu zaiflikni Known Exploited Vulnerabilities (KEV) ro‘yxatiga kiritdi.

Eng e’tiborlisi, zaiflikni bartaraf etish uchun belgilangan oxirgi muddat:

2026-yil 30-yanvar

Bu juda qisqa muddat bo‘lib, zaiflikning qanchalik jiddiy ekanini ko‘rsatadi.

Qaysi versiyalar zararlangan?

Zaiflik Fortinet mahsulotlarining 7.x – 8.x tarmoqlaridagi ko‘plab versiyalariga ta’sir qiladi.

FortiOS uchun xavfli versiyalar:

  • 7.6.0 – 7.6.5
  • 7.4.0 – 7.4.10
  • 7.2.0 – 7.2.12
  • 7.0.0 – 7.0.18

Xuddi shunga o‘xshash versiyalar FortiManager va FortiAnalyzer’da ham mavjud. FortiProxy va FortiWeb ham turli asosiy relizlar bo‘yicha ta’sirlangan. FortiSwitch Manager esa hozircha tekshiruv ostida.

Fortinet qanday choralar ko‘rdi?

Fortinet 2026-yil 26-yanvarda vaqtinchalik choralar sifatida FortiCloud SSO funksiyasini o‘chirib qo‘ydi. Oradan bir kun o‘tib, uni qayta yoqdi, ammo bu safar zaif versiyadagi qurilmalarga autentifikatsiyani bloklash cheklovi qo‘shildi.

Shuningdek, quyidagi xavfsiz versiyalar tavsiya qilinmoqda:

  • FortiOS → 7.4.11 yoki 7.6.6
  • FortiManager → 7.4.10 yoki 7.6.6
  • FortiAnalyzer → 7.2.12 yoki 7.0.16

Zudlik bilan ko‘rilishi kerak bo‘lgan choralar

Agar tashkilotingizda Fortinet qurilmalari ishlatilayotgan bo‘lsa, quyidagi amallarni darhol bajaring:

  1. FortiCloud SSO yoqilganligini tekshiring va vaqtincha o‘chirib qo‘ying.
  2. Qurilmadagi barcha administrator akkauntlarini tekshiring.
  3. Quyidagi nomlarga ega akkauntlar mavjud bo‘lsa, darhol tekshiruv o‘tkazing:
    audit, backup, itadmin, secadmin, support, svcadmin, system
  4. Konfiguratsiya loglarini va kirish tarixini tahlil qiling.
  5. Qurilmani tavsiya etilgan xavfsiz versiyaga yangilang.
  6. Administrator parollarini yangilang.
  7. Agar shubha bo‘lsa, konfiguratsiyani toza qurilmaga migratsiya qiling.

Censys tahliliga ko‘ra, yangilash imkoniyati bo‘lmagan tashkilotlar hech bo‘lmaganda FortiCloud SSO’ni o‘chirishi shart.

Ushbu zaiflik oddiy autentifikatsiya xatosi emas. Bu — butun tashkilot tarmog‘ini himoya qilib turgan Fortinet qurilmasi ustidan tashqi hujumchining nazorat o‘rnatishiga olib keladigan xavfdir.

3,2 milliondan ortiq internetga ochiq Fortinet qurilmalari mavjudligi esa bu tahdidning global miqyosini ko‘rsatadi.

Kiberxavfsizlikda eng xavfli xatoliklar ko‘pincha “qulaylik uchun yoqilgan” funksiyalardan kelib chiqadi. FortiCloud SSO ham aynan shunday holatga aylandi.

Shu sababli, Fortinet’dan foydalanuvchi barcha tashkilotlar ushbu ogohlantirishni jiddiy qabul qilib, darhol amaliy choralarni ko‘rishlari zarur. Kechikish esa tizim ustidan nazoratni yo‘qotish bilan yakunlanishi mumkin.