В Fortinet обнаружена новая критическая уязвимость, позволяющая злоумышленникам получить права супер-администратора, захватив межсетевой экран
В мире кибербезопасности выявлена еще одна серьезная уязвимость. Одна из ведущих компаний в сфере кибербезопасности, Fortinet, подтвердила обнаружение новой критической уязвимости обхода аутентификации (CVE-2025-24472) в своих продуктах FortiOS и FortiProxy, которая уже эксплуатируется злоумышленниками. Данная уязвимость позволяет атакующим получить права супер-администратора путем отправки специально созданных CSF proxy-запросов.
Уязвимость затрагивает версии FortiOS с 7.0.0 по 7.0.16, а также версии FortiProxy с 7.0.0 по 7.0.19 и 7.2.0 по 7.2.12.
Fortinet оперативно выпустила обновления безопасности для устранения данной критической уязвимости и настоятельно рекомендует всем пользователям установить соответствующие патчи.
По имеющимся данным, злоумышленники уже эксплуатируют данную уязвимость в реальных атаках, получая незаконный доступ к корпоративным сетям и управляя межсетевыми экранами Fortinet.
С помощью данной уязвимости киберпреступники могут:
🔴 Создавать нелегальные административные и локальные учетные записи.
🔴 Изменять и манипулировать политиками безопасности межсетевого экрана.
🔴 Добавлять созданные учетные записи в группы пользователей SSL VPN.
🔴 Устанавливать скрытые туннели для доступа во внутренние сети.
Компания Fortinet уточнила, что уязвимость эксплуатируется через Node.js WebSocket-модуль или через специально созданные CSF proxy-запросы.
Ранее Fortinet уже раскрывала другую нулевую уязвимость (CVE-2024-55591), которая также позволяла атакующим получать права супер-администратора посредством вредоносных запросов, направленных на тот же Node.js WebSocket-модуль.
Исследования экспертов показали, что злоумышленники используют пошаговую стратегию атак. Согласно отчету компании Arctic Wolf, атака проводится в четыре этапа:
1️⃣ Сканирование уязвимостей (16–23 ноября 2024 г.) – киберпреступники ищут уязвимые устройства Fortinet в открытом доступе.
2️⃣ Разведка (22–27 ноября 2024 г.) – сбор дополнительной информации о найденных устройствах.
3️⃣ Настройка SSL VPN (4–7 декабря 2024 г.) – злоумышленники изменяют конфигурацию VPN, создавая скрытые пути для доступа.
4️⃣ Боковое перемещение по сети (16–27 декабря 2024 г.) – киберпреступники двигаются по внутренней сети, собирая конфиденциальные данные.
Такая поэтапная стратегия позволяет атакующим незаметно проникнуть в корпоративные сети, получив полный контроль над их внутренней инфраструктурой.
Компания Fortinet настоятельно рекомендует пользователям принять меры предосторожности:
✅ Обновить FortiOS до версии 7.0.17 или выше.
✅ Обновить FortiProxy до версии 7.2.13 или выше (или 7.0.20 для более ранних веток).
✅ Если обновление невозможно – отключить HTTP/HTTPS админ-интерфейсы или ограничить доступ только для доверенных IP-адресов.
✅ Ограничить общий доступ к интерфейсам управления межсетевым экраном.
✅ Регулярно проверять журналы событий и мониторить активность на предмет подозрительных действий.
Fortinet также советует следить за признаками эксплуатации уязвимости, такими как создание новых учетных записей администраторов, изменения конфигурации и необычные подключения к SSL VPN.
Атаки на уязвимость CVE-2025-24472 продолжаются, и угроза остается крайне высокой. Организациям, использующим уязвимые версии Fortinet, необходимо немедленно обновить системы или применить рекомендованные меры защиты.
Любая уязвимость в кибербезопасности открывает новые возможности для атакующих. Поэтому компании и организации должны регулярно проверять свои системы, применять строгие политики безопасности и своевременно устанавливать обновления. Только таким образом можно минимизировать риски и предотвратить кибератаки.
Этот инцидент еще раз доказывает, насколько важно серьезно относиться к защите критически важных систем и ограничивать их доступ в интернет.
