Wprowadzenie do problemu / definicja
Urządzenia FortiGate od lat stanowią najważniejszy element ochrony styku sieci wewnętrznej z internetem. Problem pojawia się jednak wtedy, gdy sama zapora staje się celem skutecznego ataku, ponieważ jej przejęcie może otworzyć napastnikom drogę nie tylko do zarządzania ruchem sieciowym, ale również do konfiguracji, danych uwierzytelniających oraz informacji o architekturze środowiska.
W analizowanych incydentach FortiGate nie było jedynie pojedynczym punktem naruszenia. Po uzyskaniu dostępu do urządzenia atakujący wykorzystywali je jako przyczółek do dalszej penetracji infrastruktury Windows, przejmowania kont usługowych oraz operacji wymierzonych w Active Directory.
W skrócie
Badacze opisali scenariusze, w których FortiGate był wykorzystywany jako wektor wejścia do sieci. Napastnicy uzyskiwali dostęp administracyjny przez podatności lub słabe dane logowania, a następnie eksportowali konfigurację urządzenia, odzyskiwali poświadczenia kont usługowych i pozyskiwali informacje o topologii środowiska.
- tworzenie nowych kont administratora na FortiGate,
- modyfikacja reguł firewall w celu ułatwienia ruchu bocznego,
- dołączanie nieautoryzowanych stacji roboczych do domeny,
- wdrażanie narzędzi zdalnego zarządzania,
- próby pozyskania pliku NTDS.dit z kontrolerów domeny.
Kontekst / historia
Kampania została zaobserwowana na przełomie końca 2025 i początku 2026 roku. W tym okresie szczególne znaczenie miały luki CVE-2025-59718, CVE-2025-59719 oraz CVE-2026-24858, powiązane z mechanizmami FortiCloud SSO i błędami w procesie uwierzytelniania.
W praktyce problem nie ograniczał się do samego urządzenia brzegowego. FortiGate w wielu organizacjach współpracuje z LDAP i Active Directory, używając kont usługowych do mapowania użytkowników, grup i polityk dostępu. To sprawia, iż kompromitacja zapory może stać się bezpośrednim pomostem do naruszenia tożsamości domenowych.
Analiza techniczna
W opisywanych przypadkach atakujący uzyskiwali dostęp administracyjny do FortiGate na dwa główne sposoby: poprzez aktywnie wykorzystywane podatności albo w wyniku błędnej konfiguracji i słabych haseł. Następnie eksportowali konfigurację FortiOS, która mogła zawierać zaszyfrowane poświadczenia kont usługowych wykorzystywanych do integracji z LDAP lub Active Directory.
Po wyeksportowaniu konfiguracji napastnicy odzyskiwali hasła i wykorzystywali je do logowania w środowisku domenowym. W jednym z incydentów zdobyte konto usługowe posłużyło do uwierzytelnienia w Active Directory i dołączenia dwóch nieautoryzowanych stacji roboczych do domeny. Taki ruch umożliwia obejście części mechanizmów kontroli dostępu i stanowi skuteczną bazę do dalszych działań.
Atak obejmował również utrwalenie dostępu na samym urządzeniu brzegowym. Tworzono lokalne konta administracyjne oraz dodawano nowe reguły firewall, które ułatwiały komunikację między segmentami sieci. W drugim przypadku napastnicy bardzo gwałtownie przeszli do logowania na serwery z użyciem przejętych poświadczeń uprzywilejowanych, wdrożyli legalne narzędzia zdalnego zarządzania oraz uruchomili złośliwy ładunek z wykorzystaniem techniki DLL side-loading.
Końcowym celem była próba pozyskania pliku NTDS.dit i gałęzi SYSTEM z kontrolera domeny. Taki zestaw danych pozwala na dalsze łamanie skrótów haseł, eskalację uprawnień i rozszerzenie kompromitacji na całą organizację.
Istotnym problemem okazał się również ograniczony poziom widoczności. Krótka retencja logów na urządzeniach brzegowych utrudniała ustalenie dokładnego momentu wejścia, przebiegu ataku oraz rzeczywistej skali naruszenia.
Konsekwencje / ryzyko
Kompromitacja FortiGate wiąże się z wysokim ryzykiem operacyjnym. Urządzenie znajduje się na styku internetu i sieci wewnętrznej, a jednocześnie często posiada relacje z systemami tożsamości, co czyni je szczególnie wartościowym celem.
- utrata poufności danych uwierzytelniających,
- manipulacja politykami bezpieczeństwa i ruchem sieciowym,
- możliwość nieautoryzowanego dołączania hostów do domeny,
- szybki ruch boczny do serwerów i kontrolerów domeny,
- utrwalenie dostępu przez konta lokalne i narzędzia RMM,
- kradzież danych z Active Directory i pełna eskalacja uprawnień.
Dodatkowym zagrożeniem jest fakt, iż urządzenia brzegowe nie zawsze są objęte równie rozbudowanym monitoringiem jak stacje końcowe i serwery. Ograniczona telemetria, brak EDR oraz niewystarczająca retencja logów wydłużają czas niewykrytej obecności napastnika.
Rekomendacje
Organizacje powinny traktować FortiGate jako system krytyczny nie tylko z perspektywy sieci, ale także bezpieczeństwa tożsamości i domeny. Samo aktualizowanie urządzenia nie wystarczy, jeżeli równolegle nie zostaną zabezpieczone konta usługowe, interfejsy administracyjne i procesy monitorowania.
- zweryfikować wersję FortiOS i niezwłocznie wdrożyć poprawki dla wskazanych podatności,
- wyłączyć FortiCloud SSO tam, gdzie nie jest niezbędne,
- ograniczyć dostęp administracyjny wyłącznie do zaufanych segmentów i zabezpieczyć go MFA,
- przeprowadzić rotację haseł wszystkich kont usługowych powiązanych z LDAP i AD,
- przejrzeć lokalne konta administratorów oraz historię zmian polityk firewall,
- monitorować eksport konfiguracji i nietypowe logowania administracyjne,
- zwiększyć retencję logów urządzeń NGFW do co najmniej kilkunastu dni, a najlepiej do 60–90 dni,
- centralizować logi w systemie SIEM,
- analizować zdarzenia domenowe związane z nowymi komputerami, nietypowymi logowaniami i zmianami w katalogu,
- zweryfikować ustawienia umożliwiające dołączanie maszyn do domeny bez ścisłej kontroli.
W środowiskach, gdzie istnieje podejrzenie naruszenia, warto dodatkowo sprawdzić, czy nie doszło do eksportu konfiguracji z FortiGate, utworzenia nowych kont lokalnych, logowań z adresów powiązanych z VPN zapory do serwerów domenowych oraz instalacji narzędzi zdalnego zarządzania.
Podsumowanie
Opisane incydenty pokazują, iż nowoczesna zapora sieciowa może stać się nie tylko narzędziem ochrony, ale również wyjątkowo skutecznym punktem wejścia do środowiska firmowego. Kompromitacja FortiGate może prowadzić do przejęcia kont usługowych, obejścia segmentacji, ruchu bocznego i pełnego naruszenia Active Directory.
Dla obrony najważniejsze znaczenie mają szybkie łatanie podatności, ścisła kontrola dostępu administracyjnego, regularna rotacja poświadczeń oraz pełna widoczność telemetryczna z urządzeń brzegowych. Bez tych działań firewall może przestać pełnić funkcję bariery i sam stać się najgroźniejszym elementem łańcucha ataku.