Súlyos biztonsági hibákat javított a Fortinet a FortiGate tűzfalrendszereiben, amelyek lehetővé tették volna a támadók számára, hogy rendszergazdai hozzáférést szerezzenek vállalati hálózatokhoz. A problémát különösen komolyan kell venni, mert a sérülékenységek a hálózat egyik legfontosabb védelmi pontját érintették.
A kutatók szerint a támadások már 2025 vége és 2026 eleje között is megjelentek, amikor kiberbűnözők három különböző biztonsági hibát használtak ki a FortiGate Next-Generation Firewall eszközökben. A céljuk az volt, hogy tartós hozzáférést szerezzenek a rendszerekhez, majd onnan további hálózati erőforrásokhoz jussanak.
A három sebezhetőség közül kettőt CVE-2025-59718 és CVE-2025-59719 azonosítóval tartanak nyilván. Mindkettő rendkívül magas, 9.8-as súlyossági besorolást kapott. A hibák a kriptográfiai aláírások ellenőrzésének hiányosságából fakadtak, ami lehetővé tette, hogy a támadók egy manipulált SAML tokent küldjenek a rendszernek. Ha ez sikeres volt, a támadó akár hitelesítés nélkül is rendszergazdai jogosultságot szerezhetett a tűzfalon.
A harmadik sérülékenység, a CVE-2026-24858 szintén kritikus besorolást kapott. Ez a hiba lehetővé tette, hogy a támadók egy másik felhasználói fiókkal jelentkezzenek be a FortiGate rendszerekbe, megkerülve a hagyományos hitelesítési mechanizmusokat. A szakértők szerint ezt a hibát már egy úgynevezett zero-day támadás során is kihasználták 2026 elején.
A biztonsági kutatók megfigyelése szerint a támadások célja nem azonnali károkozás volt. Inkább arra törekedtek, hogy tartós hozzáférést építsenek ki a vállalati infrastruktúrában, majd onnan oldalirányban tovább terjeszkedjenek más rendszerek felé. Ez a módszer a modern kiberbiztonsági támadások egyik leggyakoribb taktikája.
A helyzet súlyosságát jól mutatja, hogy az egyik sérülékenység felkerült az amerikai CISA ügynökség „Known Exploited Vulnerabilities” listájára is. Ez a lista azokat a hibákat tartalmazza, amelyeket a támadók már bizonyítottan aktívan kihasználnak.
A Fortinet reagált a problémára. A vállalat ideiglenesen leállította a FortiCloud SSO szolgáltatást, majd firmware frissítést adott ki a sebezhetőségek javítására. A vállalat minden érintett szervezetnek azt javasolja, hogy azonnal telepítse a frissítést.
A szakértők szerint azonban a patch telepítése önmagában nem elég. Azoknak a szervezeteknek, amelyek FortiGate eszközöket használnak, érdemes több további lépést is megtenniük a biztonság érdekében.
Elsőként javasolt az összes LDAP és Active Directory hitelesítő adat cseréje, különösen akkor, ha fennáll a gyanú, hogy a rendszer már kompromittálódott. Emellett fontos a rendszergazdai hozzáférések szigorítása, a gyenge vagy alapértelmezett jelszavak megszüntetése, valamint az újonnan létrejövő adminisztrátori fiókok folyamatos monitorozása.
A szakértők azt is javasolják, hogy a vállalatok vizsgálják felül az úgynevezett MachineAccountQuota beállításokat, amelyek meghatározzák, hogy hány új eszköz csatlakozhat automatikusan a tartományhoz. A túl magas érték potenciális támadási felületet jelenthet.
A Fortinet eszközei világszerte rendkívül elterjedtek a vállalati infrastruktúrákban, ezért a kiberbűnözők rendszeresen próbálnak sérülékenységeket találni bennük. Mivel a tűzfalak a hálózati védelem első vonalát jelentik, egy ilyen hiba kihasználása komoly kockázatot jelenthet egy szervezet teljes IT-rendszerére nézve.
Ezért a legfontosabb tanulság változatlan. A biztonsági frissítések gyors telepítése ma már nem csak ajánlás, hanem alapvető védelmi intézkedés.
