Ataki na FortiGate otwierają drogę do kradzieży konfiguracji i pełnej kompromitacji sieci - Security Bez Tabu

Ataki na FortiGate otwierają drogę do kradzieży konfiguracji i pełnej kompromitacji sieci

Cybersecurity news

Wprowadzenie do problemu / definicja

Urządzenia FortiGate od lat stanowią kluczowy element ochrony sieci przedsiębiorstw, łącząc funkcje zapory nowej generacji, dostępu zdalnego, filtrowania ruchu oraz integracji z usługami katalogowymi. To właśnie ich uprzywilejowana pozycja sprawia, że skuteczne przejęcie takiego systemu może dać napastnikom nie tylko kontrolę nad ruchem sieciowym, ale również dostęp do danych konfiguracyjnych, kont usługowych i informacji o architekturze środowiska.

Najnowsze analizy incydentów pokazują, że FortiGate bywa wykorzystywany jako punkt wejścia do znacznie głębszej kompromitacji infrastruktury. Po uzyskaniu dostępu administracyjnego atakujący są w stanie eksportować konfigurację, zmieniać polityki bezpieczeństwa oraz wykorzystywać przechowywane w urządzeniu informacje do dalszego ruchu lateralnego.

W skrócie

Badacze reagowania na incydenty obserwują kampanie, w których FortiGate staje się pierwszym etapem ataku na organizację. Po przejęciu urządzenia intruzi eksportują pełną konfigurację, tworzą dodatkowe konta administratorów, modyfikują reguły firewalla i wykorzystują pozyskane poświadczenia do wejścia w głąb środowiska.

  • celem są dane o topologii sieci i kontach usługowych,
  • atakujący wykorzystują zarówno podatności, jak i słabe hasła,
  • po kompromitacji dochodzi do ruchu lateralnego i utrwalania dostępu,
  • w najpoważniejszych przypadkach próbują wykraść bazę NTDS.dit z kontrolera domeny.

Kontekst / historia

W tle analizowanych incydentów pojawiają się wcześniej ujawnione luki związane z mechanizmami uwierzytelniania i SSO w ekosystemie Fortinet. W szczególności wskazywano na błędy weryfikacji podpisu kryptograficznego, które mogły umożliwiać obejście uwierzytelnienia w określonych scenariuszach związanych z FortiCloud SSO. Równolegle eksperci podkreślają, że nie każdy incydent wymaga użycia zaawansowanego exploita — w wielu przypadkach wystarczają publicznie dostępne interfejsy administracyjne i słabe dane logowania.

Dodatkowym problemem pozostaje ograniczona retencja logów na urządzeniach brzegowych. Gdy organizacja przechowuje logi zbyt krótko, bardzo trudno ustalić dokładny moment przejęcia zapory, pierwotny wektor wejścia oraz pełną skalę działań napastnika. W praktyce często widoczny jest dopiero etap późniejszej aktywności w sieci wewnętrznej.

Analiza techniczna

Po uzyskaniu uprawnień administracyjnych na FortiGate napastnik może wyeksportować konfigurację urządzenia i przeanalizować ją pod kątem danych przydatnych operacyjnie. W konfiguracji mogą znajdować się informacje o segmentacji sieci, politykach dostępu, integracjach z LDAP lub Active Directory oraz zaszyfrowane poświadczenia kont usługowych.

W opisywanych przypadkach intruzi tworzyli lokalne konta administratorów na urządzeniach, a następnie modyfikowali reguły firewalla, aby ułatwić komunikację między segmentami lub utrzymać stały dostęp. Z pozyskanych danych konfiguracyjnych wyciągano informacje pozwalające na uwierzytelnienie w usługach katalogowych, co otwierało drogę do dalszej enumeracji i kompromitacji domeny.

W kolejnych etapach obserwowano dołączanie nieautoryzowanych stacji roboczych do domeny, użycie legalnych narzędzi zdalnego zarządzania, takich jak Pulseway i MeshAgent, a także wykorzystanie PowerShella, PsExec oraz technik uruchamiania złośliwego kodu przy użyciu DLL side-loading. Tego typu działania pozwalają napastnikom poruszać się po środowisku w sposób mniej oczywisty i zwiększają szansę na dłuższe utrzymanie obecności.

Najbardziej niebezpiecznym etapem była próba pozyskania danych z kontrolera domeny. Atakujący tworzyli kopie woluminów, wyodrębniali pliki NTDS.dit i SYSTEM, a następnie przygotowywali je do dalszej eksfiltracji. Taki zestaw umożliwia offline’ową analizę skrótów haseł i może prowadzić do długotrwałej kompromitacji tożsamości w organizacji.

Konsekwencje / ryzyko

Kompromitacja FortiGate nie ogranicza się do pojedynczego urządzenia sieciowego. W praktyce może oznaczać ujawnienie pełnej logiki ochrony środowiska, wewnętrznej adresacji, mapy połączeń oraz danych kont wykorzystywanych do integracji z systemami krytycznymi. To z kolei znacząco obniża koszt dalszego ataku i skraca czas potrzebny do zdobycia wysokich uprawnień.

  • przejęcie kont usługowych i kont administracyjnych,
  • tworzenie nieautoryzowanych kont lokalnych oraz domenowych,
  • zmiana polityk zapory w celu utrzymania dostępu,
  • wdrażanie narzędzi RMM jako mechanizmu persistence,
  • ruch lateralny do serwerów krytycznych,
  • eksfiltracja danych Active Directory,
  • utrata poufności i integralności całego środowiska.

Problem komplikuje także ograniczona widoczność telemetryczna. Urządzenia brzegowe zwykle nie są objęte klasycznym monitoringiem EDR, dlatego skuteczne wykrywanie nadużyć wymaga korelacji logów sieciowych, systemowych i danych z SIEM.

Rekomendacje

Organizacje korzystające z FortiGate powinny traktować te urządzenia jak zasoby krytyczne o wysokim poziomie uprzywilejowania. Oznacza to konieczność szybkiego wdrażania poprawek, regularnej weryfikacji ekspozycji interfejsów zarządzających oraz przeglądu funkcji, które nie są niezbędne biznesowo, w tym wybranych integracji SSO.

  • aktualizować FortiOS i komponenty powiązane do wersji wolnych od znanych luk,
  • stosować silne i unikalne hasła dla kont administracyjnych,
  • wymuszać MFA dla dostępu administracyjnego,
  • ograniczać interfejsy zarządzające do zaufanych adresów IP,
  • regularnie przeglądać lokalne konta administratorów na urządzeniu,
  • monitorować eksport konfiguracji i zmiany polityk firewalla,
  • wykrywać nietypowe logowania oraz użycie narzędzi RMM, PowerShell i PsExec,
  • wydłużyć retencję logów do co najmniej 60–90 dni i centralizować je w SIEM,
  • rotować poświadczenia kont usługowych po każdej podejrzanej aktywności,
  • ograniczyć uprawnienia kont integracyjnych i przejrzeć ustawienia MachineAccountQuota.

Podsumowanie

Incydenty związane z FortiGate pokazują, że urządzenia brzegowe pozostają jednym z najbardziej atrakcyjnych celów dla operatorów zagrożeń. Ich kompromitacja może szybko przełożyć się na dostęp do usług katalogowych, serwerów oraz kluczowych poświadczeń, a następnie na pełną penetrację środowiska.

Dla zespołów bezpieczeństwa oznacza to potrzebę zmiany podejścia: firewall nie jest wyłącznie narzędziem ochronnym, ale również zasobem wysokiego ryzyka, który sam wymaga ścisłego monitoringu, twardego hardeningu i rozbudowanej telemetrii. W obecnym krajobrazie zagrożeń ochrona urządzeń FortiGate powinna być traktowana jako jeden z priorytetów cyberbezpieczeństwa przedsiębiorstwa.

Źródła

  1. Attackers exploit FortiGate devices to access sensitive network information — https://securityaffairs.com/189241/security/attackers-exploit-fortigate-devices-to-access-sensitive-network-information.html
  2. FortiGate Edge Intrusions | Stolen Service Accounts Lead to Rogue Workstations and Deep AD Compromise — https://www.sentinelone.com/blog/fortigate-edge-intrusions/
  3. Fortinet fixed two critical authentication-bypass vulnerabilities — https://securityaffairs.com/185546/security/fortinet-fixed-two-critical-authentication-bypass-vulnerabilities.html
  4. CVE-2025-59718 — https://nvd.nist.gov/vuln/detail/CVE-2025-59718
  5. CVE-2025-59719 — https://nvd.nist.gov/vuln/detail/CVE-2025-59719