Критическая ошибка SSO в экосистеме Fortinet: обнаружено несанкционированное получение доступа уровня администратора через FortiCloud

9 декабря 2025 года компания Fortinet выпустила срочное предупреждение о серьёзной уязвимости, выявленной в ряде её продуктов (FortiOS, FortiWeb, FortiProxy, FortiSwitchManager и др.). Уязвимость позволяет обойти механизм аутентификации FortiCloud Single Sign-On (SSO) и получить административный доступ без авторизации. Согласно официальным данным, проблема связана с некорректной проверкой цифровой подписи в SAML-сообщениях; вследствие чего специально сформированное SAML-сообщение может обойти проверку подлинности и предоставить злоумышленнику доступ уровня администратора.

Уязвимость относится к типу «Improper Verification of Cryptographic Signature» (CWE-347) — то есть система не выполняет корректную и полную проверку криптографической подписи в SAML-сообщении. В результате устройство может ошибочно считать злоумышленника доверенным пользователем FortiCloud и автоматически авторизовать его. Данная проблема была обнаружена внутренней командой Fortinet и официально раскрыта компанией.

Кто и когда находится под угрозой?

Согласно уведомлению Fortinet, уязвимость затрагивает следующие продукты и версии. Администраторам необходимо незамедлительно проверить свои устройства и установить соответствующие обновления:

FortiOS:
7.6.0–7.6.3 → обновить до 7.6.4 или выше
7.4.0–7.4.8 → 7.4.9+
7.2.0–7.2.11 → 7.2.12+
7.0.0–7.0.17 → 7.0.18+

FortiProxy:
7.6.0–7.6.3 → 7.6.4+
7.4.0–7.4.10 → 7.4.11+
7.2.0–7.2.14 → 7.2.15+
7.0.0–7.0.21 → 7.0.22+

FortiSwitchManager:
7.2.0–7.2.6 → 7.2.7+
7.0.0–7.0.5 → 7.0.6+

FortiWeb:
8.0.0 → 8.0.1+
7.6.0–7.6.4 → 7.6.5+
7.4.0–7.4.9 → 7.4.10+

Обратите внимание: функция FortiCloud SSO может быть отключена по умолчанию, однако при регистрации устройства в FortiCare через графический интерфейс (GUI) переключатель «Allow administrative login using FortiCloud SSO» остаётся включённым по умолчанию — если администратор вручную его не отключил. Поэтому важно тщательно проверять конфигурацию во время установки и регистрации устройства.

Как проявляется риск и в чём заключается опасность?

Эксплуатация уязвимости не требует предваренной аутентификации, но и не предусматривает удалённого выполнения кода. Однако злоумышленник может отправить специально сформированное SAML-сообщение на устройство с включённой функцией FortiCloud SSO и получить административный доступ, изменить настройки и нарушить безопасность сети. Особенно опасны устройства с доступом из Интернета или интеграцией с FortiCloud.

Неотложные меры (практические рекомендации)

1. Немедленно обновите устройства.
Установите официальные патчи, опубликованные Fortinet — переход на указанные версии является самым надёжным решением. FortiGuard

2. Если обновление временно невозможно — отключите FortiCloud SSO.
В качестве временной меры администраторы могут полностью выключить администраторский вход через FortiCloud SSO, что исключит возможность эксплуатации. FortiGuard+1

3. Проверьте конфигурацию.
Убедитесь, что переключатель Allow administrative login using FortiCloud SSO, автоматически активирующийся при регистрации в FortiCare, выключен, если эта функция не требуется. FortiGuard

4. Усильте мониторинг сети и устройств.
Настройте SIEM/EDR для выявления необычных попыток входа администратора, подозрительных SAML-сообщений или неожиданных изменений конфигурации. При первых признаках атаки включите план реагирования на инциденты. runZero

5. Проведите аудит и инвентаризацию.
Определите все устройства Fortinet в сети, проверяйте их версии прошивки и создайте список уязвимых экземпляров для приоритетного обновления.

Дополнительные рекомендации

  • Регулярно отслеживайте PSIRT Fortinet и надёжные кибербезопасностные источники — информация о новых уязвимостях и обновлениях меняется быстро. FortiGuard+1
  • Ограничьте доступ к административным интерфейсам устройств, особенно если они доступны из Интернета; используйте список доверенных IP-адресов.
  • При необходимости временно отключите устройства от Интернета на время обновления, особенно при признаках массовой эксплуатации.

Уязвимость, объявленная Fortinet, представляет собой серьёзную проблему: некорректная проверка подписи SAML позволяет обойти FortiCloud SSO-аутентификацию и получить административный доступ. Компания выпустила обновления и рекомендует администраторам немедленно обновить устройства или временно отключить FortiCloud SSO. Для любых организаций это приоритетная мера безопасности: провести инвентаризацию устройств, обновить прошивки и усилить мониторинг для предотвращения возможных атак.