Admin
Администратор
Взлом сетевого устройства на границе сети может быстро привести злоумышленника к контроллерам домена и ключевым данным компании.
Специалисты зафиксировали несколько атак, где злоумышленники использовали уязвимости в межсетевых экранах FortiGate для проникновения в корпоративные сети.
В начале 2026 года команда SentinelOne разбирала случаи атак, где злоумышленники получали доступ к устройствам FortiGate Next-Generation Firewall и начинали перемещение по сети. Уязвимости CVE-2025-59718 и CVE-2025-59719 позволяли обойти механизм единого входа, а CVE-2026-24858 — войти в устройства при включённой авторизации через FortiCloud. После получения доступа злоумышленники извлекали файл конфигурации устройства, содержащий структуру сети и учётные данные. В одном из инцидентов злоумышленник создал локальную учётную запись администратора и добавил правила межсетевого экрана, позволяющие перемещаться между сетевыми зонами. Позже злоумышленник извлёк учётные данные LDAP-учётной записи и вошёл в Active Directory. Во втором инциденте злоумышленник действовал быстрее, создав административную учётную запись и получив доступ к серверам через встроенную учётную запись администратора домена. На серверах были установлены инструменты удалённого администрирования и вредоносные программы. Подобные атаки особенно опасны, так как устройства FortiGate имеют доступ к ключевым компонентам инфраструктуры. Основная защита сводится к своевременной установке обновлений, жёсткому контролю административного доступа и длительному хранению журналов событий.
