Fortinet qurilmalariga qarshi faol kiberhujumlar: autentifikatsiyani chetlab o‘tish orqali to‘liq boshqaruv qo‘lga olinmoqda
So‘nggi kunlarda butun dunyo bo‘ylab keng qo‘llaniladigan Fortinet FortiGate va unga aloqador mahsulotlarda aniqlangan jiddiy xavfsizlik zaifliklari kiberxavfsizlik mutaxassislari orasida katta xavotir uyg‘otdi. Mazkur zaifliklar orqali hujumchilar autentifikatsiyani to‘liq chetlab o‘tib, qurilmaga administrator (admin) huquqlari bilan kirish imkoniyatiga ega bo‘lmoqda.
Zaifliklar mohiyati
Hujumlar CVE-2025-59718 va CVE-2025-59719 identifikatorlari ostida qayd etilgan ikki muhim zaiflikdan faol foydalanilayotgani bilan bog‘liq. Ushbu kamchiliklar SAML (Security Assertion Markup Language) texnologiyasiga asoslangan FortiCloud SSO (Single Sign-On) mexanizmida mavjud bo‘lib, maxsus tayyorlangan soxta SAML xabarlari yordamida autentifikatsiyani butunlay aylanib o‘tishga imkon beradi.
Natijada, hujumchi hech qanday parol yoki ikki faktorli tasdiqlashsiz tizimga admin sifatida muvaffaqiyatli kiradi.
Rasmiy ogohlantirish va real ekspluatatsiya
Fortinet kompaniyasi mazkur muammoni 2025-yil 9-dekabr kuni PSIRT (Product Security Incident Response Team) orqali rasman e’lon qildi. Oradan ko‘p o‘tmay, Arctic Wolf kompaniyasi ham o‘zining xavfsizlik byulletenini chiqarib, zaifliklar real sharoitda faol ekspluatatsiya qilinayotganini tasdiqladi va barcha tashkilotlarni zudlik bilan yangilanishga chaqirdi.
Qaysi mahsulotlar xavf ostida?
Zaifliklar quyidagi mahsulotlarda FortiCloud SSO yoqilgan bo‘lsa, xavf tug‘diradi:
- FortiOS
- FortiWeb
- FortiProxy
- FortiSwitchManager
Muhim jihati shundaki, FortiCloud SSO zavod sozlamalarida o‘chiq bo‘ladi. Ammo qurilma FortiCare GUI orqali ro‘yxatdan o‘tkazilganda, administratorlar e’tiboridan chetda qolgan holda, “Allow administrative login using FortiCloud SSO” opsiyasi avtomatik ravishda yoqilishi mumkin. Aynan mana shu keng tarqalgan e’tiborsizlik internetga ochiq qurilmalarni masofaviy hujumlarga nishonga aylantirmoqda.
Hujum manbalari va aniqlangan belgilar (IOC)
Arctic Wolf tahlillariga ko‘ra, hujumlar asosan bir nechta hosting provayderlarga tegishli IP-manzillardan amalga oshirilgan:
| IP-manzil | Hosting provayder |
|---|---|
| 45.32.153.218 | The Constant Company LLC |
| 167.179.76.111 | The Constant Company LLC |
| 199.247.7.82 | The Constant Company LLC |
| 45.61.136.7 | Bl Networks |
| 38.54.88.203 | Kaopu Cloud HK Limited |
| 38.54.95.226 | Kaopu Cloud HK Limited |
| 38.60.212.97 | Kaopu Cloud HK Limited |
Hujumchilar asosan standart “admin” akkauntini nishonga olgan.
Real hodisa: tizim konfiguratsiyasining o‘g‘irlanishi
Tahlil qilingan jurnal yozuvlarida quyidagi holatlar qayd etilgan:
- SSO orqali muvaffaqiyatli admin login
- Xuddi shu IP-manzildan tizim konfiguratsiya faylining GUI orqali yuklab olinishi
Bu esa hujumchining nafaqat kirish, balki tizimni to‘liq nazorat qilish darajasiga yetganini ko‘rsatadi.
Eng xavfli tomoni shundaki, konfiguratsiya fayllarida saqlangan xeshlangan parollar ham kuchsiz parollar ishlatilgan taqdirda offline lug‘at hujumlari orqali buzilishi mumkin.
Ta’sir qilmagan versiyalar
Quyidagi ayrim eski tarmoqlar hozircha xavfsiz deb topilgan:
- FortiOS 6.4
- FortiWeb 7.0
- FortiWeb 7.2
Biroq bu holat ularni doimiy xavfsiz degani emas.
Tavsiya etiladigan choralar
Agar tizim jurnallarida shubhali SSO loginlar aniqlansa, darhol quyidagilarni amalga oshirish zarur:
- Barcha administrator parollarini zudlik bilan o‘zgartirish
- FortiCloud SSO funksiyasini o‘chirish
- Boshqaruv interfeyslarini faqat ichki ishonchli tarmoqlargagina cheklash
- Qurilmalarni rasmiy tuzatilgan (patched) versiyalarga yangilash
FortiCloud SSO’ni vaqtincha o‘chirish (CLI orqali):
config system global
set admin-forticloud-sso-login disable
end
Yoki GUI orqali:
System → Settings → “Allow administrative login using FortiCloud SSO” → Off
So‘nggi yillarda firewall va tarmoq xavfsizlik qurilmalari kiberjinoyatchilar uchun eng asosiy nishonlardan biriga aylanib bormoqda. Ushbu holat Fortinet mahsulotlarining ham doimiy monitoring, to‘g‘ri sozlash va o‘z vaqtida yangilanishsiz xavfsiz bo‘la olmasligini yana bir bor isbotladi.
Arctic Wolf mutaxassislari ta’kidlaganidek, bunday hujumlar takrorlanmoqda va kelgusida ham davom etishi mumkin. Shu bois tashkilotlar profilaktika choralarini kuchaytirishi, e’tiborsizlikka yo‘l qo‘ymasligi va kiberxavfsizlikni ustuvor masala sifatida ko‘rishi lozim.
