За последние два месяца были обнаружены сразу три уязвимости, эксплуатация которых позволяет обходить аутентификацию в продуктах Fortinet с использованием механизма FortiCloud SSO. Причем если первые две, CVE-2025-59718 и CVE-2025-59719, были найдены экспертами компании при аудите кода (хотя CVE-2025-59718 уже успела попасть в каталог эксплуатируемых уязвимостей), то третья, CVE-2026-24858, была выявлена непосредственно в ходе расследования посторонней активности на устройствах. Эти уязвимости позволяют злоумышленникам с учетной записью FortiCloud логиниться в чужие аккаунты FortiOS, FortiManager, FortiAnalyzer, FortiProxy и FortiWeb, если на устройстве включена функция SSO.
Для защиты компаний, использующих нашу SIEM-систему KUMA и устройства Fortinet мы подготовили пакет правил корреляции, которые помогают обнаружить подобную вредоносную активность. Правила уже доступны клиентам для скачивания в репозитории KUMA; название пакета: [OOTB] FortiCloud SSO abuse package – ENG.
Состав пакета FortiCloud SSO abuse
В пакет входят три группы правил. Они служат для мониторинга:
- индикаторов компрометации: IP-адреса источника, имени пользователя, создания новой учетной записи со специфичным именем;
- критичных действий администраторов, таких как вход с нового IP адреса, создание новой учетной записи, вход через SSO, вход с публичного IP адреса, экспорт конфигурации устройства;
- подозрительной активности: экспорта конфигурации или создания учетной записи сразу после подозрительного входа в систему.
Правила с пометкой (info) потенциально могут генерировать ложные срабатывания, поскольку критичные для мониторинга атаки методом обхода аутентификации события могут быть вполне легитимными. Для снижения ложноположительных срабатываний необходимо добавлять IP-адреса или учетные записи, связанные с легитимной административной активностью в исключения.
По мере появления новых отчетов об атаках мы планируем дополнять новой информацией правила с пометкой IOC.
Дополнительные рекомендации
Мы также рекомендуем использовать правила из пакета FortiCloud SSO abuse и для ретроспективного анализа (threat hunting). Рекомендуемый срок для анализа: с декабря 2025 года.
Для корректной работы правил обнаружения необходимо убедиться, что события с устройств Fortinet приходят в полном объеме и корректно нормализуются. Также мы рекомендуем настроить сохранение данных в поле Extra при нормализации событий, так как это поле содержит дополнительную информацию, необходимую для расследования.
Узнать больше о нашей SIEM-системе KUMA можно на официальной странице решения.