Zautomatyzowane ataki na FortiGate: nadużycie FortiCloud SSO do zmian konfiguracji i kradzieży ustawień firewalla (styczeń 2026)

Wprowadzenie do problemu / definicja luki

W styczniu 2026 zespoły threat intel odnotowały nową falę zautomatyzowanych intruzji na urządzenia Fortinet FortiGate, w których napastnicy wykonują nieautoryzowane zmiany konfiguracji, tworzą konta do utrzymania dostępu, włączają/konfigurują dostęp VPN i eksfiltrują konfigurację firewalla. Wspólnym mianownikiem jest mechanizm FortiCloud SSO (SAML) – wykorzystywany w scenariuszach obejścia uwierzytelnienia, gdy funkcja logowania administracyjnego przez FortiCloud SSO jest aktywna.

W tle pojawiają się dwie krytyczne podatności: CVE-2025-59718 (FortiOS/FortiProxy/FortiSwitchManager) oraz CVE-2025-59719 (FortiWeb). Obie dotyczą niepoprawnej weryfikacji podpisu kryptograficznego (CWE-347) w przepływie SAML, co może pozwalać na obejście logowania SSO przy spreparowanej odpowiedzi SAML.

W skrócie

• Aktywność obserwowana od 15 stycznia 2026 wygląda na automatyczną (zdarzenia zachodzą w odstępie sekund).
• Scenariusz ataku: malicious SSO login → eksport konfiguracji → założenie kont persistence → zmiany pod VPN.
• W kampanii przewija się konto „cloud-init@mail.io” oraz konkretne adresy IP źródeł logowania/eksfiltracji.
• CVE-2025-59718 trafiło do CISA KEV (dowód realnej eksploatacji), z terminem działań dla agencji federalnych USA na 23 grudnia 2025 – co zwykle przekłada się na wzrost „mass scanning” i automatyzacji również poza sektorem publicznym.
• Część obserwacji sugeruje, iż nie wszystkie przypadki muszą być w pełni pokryte poprawkami z grudnia 2025 (wątek „fully patched” przewija się w dyskusjach, ale wymaga ostrożnej interpretacji).

Kontekst / historia / powiązania

Arctic Wolf opisuje styczniową falę jako podobną do kampanii z grudnia 2025, gdy po ujawnieniu CVE-2025-59718/59719 obserwowano złośliwe logowania SSO na konta administracyjne oraz szybkie pobieranie konfiguracji urządzeń.

Ważny niuans operacyjny: FortiCloud SSO bywa wyłączone w ustawieniach fabrycznych, ale według obserwacji i opisów w branży może zostać automatycznie włączone podczas rejestracji urządzenia (np. przez GUI), jeżeli administrator nie odznaczy odpowiedniej opcji. To zwiększa realną powierzchnię ataku w środowiskach, które „nie pamiętają”, iż SSO zostało aktywowane.

Analiza techniczna / szczegóły luki

1) Mechanizm: FortiCloud SSO (SAML) i obejście uwierzytelnienia

W uproszczeniu: podatności pozwalają na ominięcie uwierzytelnienia administracyjnego dla logowania FortiCloud SSO poprzez spreparowaną wiadomość/odpowiedź SAML (problem z weryfikacją podpisu). Skutkiem może być uzyskanie dostępu administracyjnego bez posiadania poprawnych poświadczeń.

2) TTP obserwowane w styczniu 2026

Arctic Wolf i The Hacker News opisują spójny łańcuch działań:

• złośliwe logowania SSO (często na konto „cloud-init@mail.io”),
• eksport konfiguracji przez interfejs GUI do tych samych źródeł,
• tworzenie „generycznych” kont dla persistence, m.in. secadmin, itadmin, support, backup, remoteadmin, audit,
• zmiany konfiguracji zapewniające dostęp VPN dla nowych kont.

3) Wskaźniki (IOC) z publicznych raportów

W raportach pojawiają się m.in.:

• konto: cloud-init@mail.io,
• IP źródłowe kojarzone z logowaniami/eksfiltracją (wg opisu kampanii):
  104.28.244[.]115, 104.28.212[.]114, 217.119.139[.]50, 37.1.209[.]19.

Praktyczne konsekwencje / ryzyko

1. Utrata poufności konfiguracji
   Konfiguracja firewalla to często „mapa skarbów” środowiska: adresacje, reguły, obiekty, trasy, zestawienia VPN, czasem informacje o integracjach. Jej wyciek znacząco ułatwia dalszą kompromitację.
2. Trwała obecność napastnika (persistence)
   Dodanie dodatkowych kont administracyjnych lub kont pod VPN daje atakującemu powrót choćby po częściowym „sprzątaniu”.
3. Ryzyko eskalacji w głąb sieci
   Dostęp przez VPN + znajomość konfiguracji często wystarcza do precyzyjnego ruchu bocznego (lateral movement), omijania segmentacji i podszywania się pod zaufane punkty sieciowe.
4. Presja czasu i automatyzacja ataków
   Fakt dodania CVE-2025-59718 do KEV oraz wcześniejsze obserwacje eksploatacji zwykle skutkują szybkim „uprzemysłowieniem” ataków (skanowanie, próby masowe, automatyczne playbooki).

Rekomendacje operacyjne / co zrobić teraz

Poniższe kroki traktuj jako „runbook” do wykonania od razu dla urządzeń FortiGate/FortiOS (oraz pokrewnych produktów, jeżeli są w Twoim zakresie):

1) Natychmiast ogranicz powierzchnię ataku (mitigacja)

• Wyłącz administracyjne logowanie przez FortiCloud SSO tam, gdzie nie jest bezwzględnie potrzebne (zwłaszcza na interfejsach wystawionych do Internetu). Rekomendacja przewija się w komunikatach branżowych i rządowych.
  Przykład (CLI FortiOS):

config system global set admin-forticloud-sso-login disable end

(Zastosowanie może zależeć od wersji/gałęzi – weryfikuj w swojej dokumentacji i change management.)

• Ogranicz dostęp do panelu administracyjnego (allowlist IP/VPN, brak ekspozycji mgmt do Internetu, MFA tam gdzie możliwe).

2) Patching i wersje (minimum)

Zaktualizuj do wersji „fixed” zgodnie z listami dla CVE-2025-59718/59719 (przykładowe progi z komunikatów i zestawień):

• FortiOS: 7.6.4+, 7.4.9+, 7.2.12+, 7.0.18+
• FortiProxy: 7.6.4+, 7.4.11+, 7.2.15+, 7.0.22+
• FortiSwitchManager: 7.2.7+, 7.0.6+
• FortiWeb (dla CVE-2025-59719): 8.0.1+, 7.6.5+, 7.4.10+

Uwaga operacyjna: Arctic Wolf wprost zaznacza, iż nie jest w danym momencie pewne, czy obserwowana aktywność jest „w pełni pokryta” pierwotnymi łatkami – dlatego patching jest konieczny, ale nie powinien być jedynym działaniem (potrzebne polowanie na oznaki kompromitacji).

3) Threat hunting: czego szukać w logach

• Logowania SSO do GUI (szczególnie nietypowe konta, np. cloud-init@mail.io).
• Eksport/pobranie konfiguracji w krótkim czasie po logowaniu.
• Nowe konta administracyjne i konta „serwisowe” (secadmin/itadmin/support/backup/remoteadmin/audit).
• Zmiany w konfiguracji VPN (nowi użytkownicy/grupy, nowe polityki, dopuszczenia ruchu).
• Ruch/źródła z IOC (IP) wskazanych w raportach – jako punkt startowy do korelacji.

4) Incident response (jeśli widzisz IOC lub podejrzane zdarzenia)

• Traktuj sytuację jak kompromitację: izolacja, kopia dowodowa, analiza zmian konfiguracji (diff), weryfikacja kont.
• Rotacja poświadczeń (admini, integracje, klucze/API), przegląd zaufanych hostów i allowlist.
• Sprawdzenie, czy nie dodano „cichych” wyjątków w politykach, trasach, NAT, SSL-VPN.

Różnice / porównania z innymi przypadkami

• Grudzień 2025 vs styczeń 2026: wspólny mianownik to FortiCloud SSO/SAML i szybka kradzież konfiguracji; w styczniu 2026 szczególnie wyraźna jest automatyzacja (sekwencje działań wykonywane w sekundach) oraz nacisk na konta persistence + przygotowanie dostępu VPN.
• KEV jako „akcelerator” aktywności: wpis do KEV często powoduje wzrost masowych prób w Internecie (skanowanie i exploitation). Tu dodatkowo mamy sygnały eksploatacji w środowiskach produkcyjnych i szybkie przenoszenie TTP między kampaniami.

Podsumowanie / najważniejsze wnioski

• Obserwowany klaster ataków na FortiGate ma charakter zautomatyzowany i skupia się na przejęciu kontroli administracyjnej przez FortiCloud SSO, a następnie na kradzieży konfiguracji i budowie persistence (dodatkowe konta + VPN).
• Nawet jeżeli masz wdrożone poprawki, nie poprzestawaj na „patched = safe”: wykonaj polowanie na IOC, audyt kont i zmiany konfiguracji, a FortiCloud SSO admin login wyłącz tam, gdzie nie jest krytyczny.
• Traktuj konfigurację firewalla jak dane wrażliwe: jej wyciek to skrót do kolejnych etapów ataku.

Źródła / bibliografia

1. Arctic Wolf Labs – opis kampanii i TTP (21 stycznia 2026). (Arctic Wolf)
2. The Hacker News – podsumowanie kampanii i IOC (22 stycznia 2026). (The Hacker News)
3. Rapid7 – ETR i rekomendacje mitigacji/patchingu (aktualizacje do 16 stycznia 2026). (Rapid7)
4. NIST NVD – karta CVE-2025-59718 (opis, CVSS, odniesienie do KEV). (nvd.nist.gov)
5. Canadian Centre for Cyber Security – Alert AL25-019 (patching i zalecenia). (Canadian Centre for Cyber Security)