Організація Shadowserver, що відстежує безпеку інтернету, виявила понад 25 тисяч пристроїв Fortinet з увімкненою функцією FortiCloud SSO, які залишаються доступними онлайн на тлі активних атак, що експлуатують критичну вразливість обходу автентифікації.

Активна експлуатація критичної вразливості

9 грудня компанія Fortinet випустила патч для усунення вразливостей CVE-2025-59718 (FortiOS, FortiProxy, FortiSwitchManager) та CVE-2025-59719 (FortiWeb). Виробник зазначив, що вразлива функція входу через FortiCloud SSO не активується до моменту реєстрації пристрою в сервісі підтримки FortiCare.

У понеділок компанія з кібербезпеки Arctic Wolf повідомила, що вразливість активно експлуатується для компрометації адміністративних облікових записів через шкідливі запити єдиного входу (SSO).

Як працює атака

Зловмисники використовують цю вразливість у незахищених продуктах, надсилаючи спеціально сформоване SAML-повідомлення для отримання адміністративного доступу до вебінтерфейсу управління та завантаження файлів конфігурації системи. Ці конфіденційні файли розкривають потенційно вразливі інтерфейси, хешовані паролі (які зловмисники можуть розшифрувати), сервіси з доступом до інтернету, мережеву топологію та політики міжмережевого екрану.

Масштаб проблеми: понад 25 тисяч відкритих пристроїв

Сьогодні Shadowserver повідомила про відстежування понад 25 тисяч IP-адрес з активним FortiCloud SSO — понад 5400 у США та майже 2000 в Індії. Проте наразі немає інформації про те, скільки з них захищені від атак, що експлуатують вразливості CVE-2025-59718 та CVE-2025-59719.

Дослідник загроз компанії Macnica Ютака Сейяма повідомив виданню BleepingComputer, що його сканування виявило понад 30 тисяч пристроїв Fortinet з увімкненим FortiCloud SSO, які також мають відкритий доступ до вебінтерфейсів управління.

«Враховуючи, як часто вразливості адміністративного GUI FortiOS експлуатувалися раніше, дивує, що стільки адміністративних інтерфейсів досі залишаються загальнодоступними», — зазначив Сейяма.

CISA вимагає термінового патчу

У вівторок Агентство з кібербезпеки та безпеки інфраструктури США (CISA) додало вразливість обходу автентифікації FortiCloud SSO до свого каталогу активно експлуатованих вразливостей. Федеральні агентства США зобов’язані встановити патч протягом тижня — до 23 грудня, відповідно до Обов’язкової оперативної директиви 22-01.

Fortinet у фокусі кіберзлочинців

Вразливості Fortinet регулярно експлуатуються групами кібершпигунства, кіберзлочинності та програм-вимагачів, часто як zero-day вразливості.

Наприклад, у лютому Fortinet повідомив, що відома китайська хакерська група Volt Typhoon експлуатувала дві вразливості FortiOS SSL VPN (CVE-2023-27997 та CVE-2022-42475) для встановлення бекдору в військову мережу Міністерства оборони Нідерландів, використовуючи спеціальне шкідливе ПЗ віддаленого доступу Coathanger.

Нещодавно, у листопаді, Fortinet попередив про zero-day вразливість FortiWeb (CVE-2025-58034), яка експлуатується в реальних умовах. Це сталося через тиждень після підтвердження компанією, що вона мовчки виправила іншу zero-day вразливість FortiWeb (CVE-2025-64446), яка використовувалася в масштабних атаках.

Ця стаття Понад 25,000 пристроїв Fortinet під загрозою віддалених атак раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Агентство з кібербезпеки та безпеки інфраструктури США (CISA) і Агентство національної безпеки (NSA) спільно з міжнародними партнерами з Австралії та Канади оприлюднили рекомендації щодо посилення захисту локальних серверів Microsoft Exchange від можливих кібератак.

«Обмежуючи адміністративний доступ, впроваджуючи багатофакторну автентифікацію, налаштовуючи суворі конфігурації транспортної безпеки та застосовуючи принципи моделі безпеки з нульовою довірою, організації можуть суттєво посилити свій захист від потенційних кібератак», — повідомили в CISA.

За словами представників відомств, зловмисна активність, спрямована на Microsoft Exchange Server, продовжується, причому основний тягар атак припадає на незахищені та неправильно налаштовані екземпляри. Організаціям рекомендують виводити з експлуатації локальні або гібридні сервери Exchange після переходу на Microsoft 365.

Ключові рекомендації щодо захисту Microsoft Exchange

Серед найкращих практик, викладених в документі:

• Підтримувати оновлення безпеки та регулярність встановлення виправлень
• Мігрувати сервери Exchange, термін підтримки яких завершився
• Забезпечити активність служби екстреного пом’якшення Exchange
• Застосовувати базові конфігурації безпеки Exchange Server, Windows і клієнтів електронної пошти
• Увімкнути антивірусне рішення, Windows Antimalware Scan Interface (AMSI), Attack Surface Reduction (ASR), AppLocker, App Control for Business, засоби виявлення та реагування на загрози кінцевих точок, а також функції Exchange Server для боротьби зі спамом і шкідливим ПЗ
• Обмежити адміністративний доступ до Exchange Admin Center (EAC) і віддаленого PowerShell, застосовуючи принцип найменших привілеїв
• Посилити автентифікацію та шифрування шляхом налаштування Transport Layer Security (TLS), HTTP Strict Transport Security (HSTS), Extended Protection (EP), Kerberos і Server Message Block (SMB) замість NTLM, а також багатофакторної автентифікації
• Вимкнути доступ користувачів до віддаленого PowerShell в Exchange Management Shell (EMS)

«Захист серверів Exchange є критично важливим для підтримки цілісності та конфіденційності корпоративних комунікацій і функцій, — зазначили представники відомств. — Постійна оцінка та посилення кібербезпеки цих комунікаційних серверів має вирішальне значення для випередження кіберзагроз, що еволюціонують, та забезпечення надійного захисту Exchange як частини операційного ядра багатьох організацій».

Захист WSUS від маніпуляцій

Windows Server Update Services (WSUS) представляє особливий ризик, оскільки через цю службу зловмисники можуть поширювати шкідливе програмне забезпечення, маскуючи його під легітимні оновлення Windows.

Основні рекомендації для WSUS включають:

1. Налаштування SSL/TLS шифрування для всіх з’єднань
2. Регулярна перевірка цілісності оновлень
3. Ізоляція WSUS сервера в окремому сегменті мережі
4. Впровадження строгих правил брандмауера
5. Аудит всіх змін конфігурації

Експерти підкреслюють, що компрометація WSUS сервера може призвести до масштабного зараження всієї корпоративної мережі, оскільки зловмисники отримують можливість встановлювати шкідливе ПЗ на всі підключені комп’ютери.

CISA оновила попередження щодо CVE-2025-59287

Рекомендації з’явилися через день після того, як CISA оновила своє попередження, додавши інформацію про CVE-2025-59287 — недавно повторно виправлену вразливість в компоненті Windows Server Update Services (WSUS), яка може призвести до віддаленого виконання коду.

Відомство рекомендує організаціям:

• Виявити сервери, вразливі до експлуатації
• Встановити позапланове оновлення безпеки від Microsoft
• Розслідувати ознаки загрозливої активності в своїх мережах
• Моніторити підозрілу активність і дочірні процеси, запущені з правами рівня SYSTEM, особливо ті, що походять від wsusservice.exe та/або w3wp.exe
• Відстежувати вкладені процеси PowerShell із використанням команд PowerShell, закодованих у base64

Активна експлуатація вразливості

За інформацією Sophos, зловмисники використовують цю вразливість для збору конфіденційних даних з організацій у різних галузях, зокрема університетів, технологічних компаній, підприємств виробництва та охорони здоров’я. Експлуатацію вразливості вперше виявили 24 жовтня 2025 року — через день після випуску оновлення Microsoft.

Під час цих атак зловмисники використовують вразливі сервери Windows WSUS для виконання команд PowerShell, закодованих у Base64, і передачі результатів на кінцеву точку webhook[.]site, що підтверджують звіти від Darktrace, Huntress і Palo Alto Networks Unit 42.

Компанія Sophos повідомила, що наразі виявила шість інцидентів у своїх клієнтських середовищах, хоча подальше дослідження зафіксувало щонайменше 50 постраждалих.

«Ця активність свідчить, що зловмисники швидко перейшли до експлуатації цієї критичної вразливості WSUS для збору цінних даних з вразливих організацій, — заявив Рейф Піллінг, директор із розвідки загроз Sophos Counter Threat Unit. — Цілком можливо, що це була початкова фаза тестування або розвідки, і зараз атакувальники аналізують зібрані дані для виявлення нових можливостей проникнення. Наразі ми не спостерігаємо подальшої масової експлуатації, але ще рано, тому фахівці з безпеки повинні сприймати це як раннє попередження. Організаціям слід переконатися, що їхні системи повністю оновлені, а сервери WSUS налаштовані безпечно, щоб зменшити ризик експлуатації».

Майкл Хааг, провідний інженер-дослідник загроз у Splunk (належить Cisco), зазначив у публікації в X, що CVE-2025-59287 «виявилася глибшою, ніж очікувалося», і його команда виявила альтернативний ланцюжок атаки, який передбачає використання бінарного файлу Microsoft Management Console (mmc.exe) для запуску cmd.exe, коли адміністратор відкриває консоль адміністрування WSUS або натискає «Reset Server Node».

«Цей шлях викликає збій у журналі подій 7053», — зауважив Хааг, додавши, що це відповідає трасуванню стека, виявленому компанією Huntress у файлі C:\Program Files\Update Services\Logfiles\SoftwareDistribution.log.

Міжнародна співпраця у сфері кібербезпеки

Випуск спільних рекомендацій демонструє зростаючу важливість міжнародної співпраці у боротьбі з кіберзагрозами. Партнери з Австралії та Канади надали свій досвід та дані про атаки, що дозволило створити більш комплексний документ.

Представники агентств зазначають, що сучасні кіберзагрози не знають кордонів, тому координація зусиль між країнами стає критично важливою для ефективного захисту цифрової інфраструктури.

Практичні кроки для впровадження

Організаціям рекомендується негайно оцінити поточний стан безпеки своїх Exchange та WSUS серверів. Процес впровадження рекомендацій варто розпочати з найбільш критичних заходів:

• Аудит поточних налаштувань безпеки
• Встановлення всіх доступних оновлень
• Налаштування системи моніторингу
• Навчання персоналу новим процедурам безпеки

Експерти радять не відкладати впровадження цих заходів, оскільки кіберзлочинці постійно шукають нові способи експлуатації вразливостей у корпоративних системах.

Довгострокова стратегія безпеки

Окрім негайних заходів, документ CISA та NSA підкреслює важливість розробки довгострокової стратегії кібербезпеки. Це включає регулярний перегляд політик безпеки, проведення тестування на проникнення та створення планів реагування на інциденти.

Агентства також рекомендують організаціям розглянути можливість переходу на хмарні рішення Microsoft, які забезпечують вищий рівень безпеки та автоматичні оновлення. Однак для тих, хто продовжує використовувати локальні сервери, дотримання нових рекомендацій стає обов’язковим.

Випуск цих рекомендацій підкреслює постійну еволюцію кіберзагроз та необхідність проактивного підходу до захисту критичної IT-інфраструктури. Організації, які швидко впровадять ці заходи, значно знизять ризик успішних кібератак на свої системи.

Ця стаття виявилася цікавою? Слідкуйте за нами в Threads, Facebook або Telegram, щоб читати більше ексклюзивного контенту.

Ця стаття CISA та NSA випустили термінові рекомендації для захисту WSUS та Microsoft Exchange серверів раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

На вихідних експерти з безпеки почали панікувати. MITRE оголосила, що уряд США не продовжив фінансування бази даних Common Vulnerabilities and Exposures (CVE).

Віцепрезидент MITRE Йосрі Барсум попередив, що підтримка урядового контракту, яка дозволяє MITRE “розробляти, експлуатувати та модернізувати CVE”, закінчиться 16 квітня. Це, за словами Барсума, призведе до “численних наслідків для CVE, включаючи погіршення національних баз даних вразливостей та рекомендацій, постачальників інструментів, операцій реагування на інциденти та всілякої критичної інфраструктури”.

Уся комп’ютерна безпека залежить від CVE, яка є стандартом для відстеження того, що є (і чого немає) значною дірою в безпеці. На щастя, коли часу майже не залишилося, MITRE, некомерційна організація, яка контролює базу даних CVE, оголосила, що отримає фінансування ще на 11 місяців.

Що таке CVE?

Програма CVE, яка з моменту свого заснування в 1999 році закаталогувала понад 274 000 публічно розкритих вразливостей, використовується урядами, приватною промисловістю та спільнотами відкритого коду — коротше кажучи, усіма — для відстеження та координації реагування на вразливості програмного забезпечення. Наприклад, Microsoft зі своїм “Patch Tuesday” та розробники ядра Linux використовують CVE для відстеження проблем безпеки.

Усі покладаються на CVE, тому що, хоч і далеко не ідеальні, вони є загальноприйнятим стандартом для відстеження проблем безпеки. Як пояснила у LinkedIn Джен Істерлі, колишня директорка Агентства з кібербезпеки та інфраструктурної безпеки (CISA):

Уявіть собі систему CVE як Десяткову класифікацію Дьюї для кібербезпеки. Це глобальний каталог, який допомагає кожному — командам безпеки, постачальникам програмного забезпечення, дослідникам, урядам — організовувати та обговорювати вразливості, використовуючи одну й ту саму систему посилань. Без неї:

• Кожен використовує різний каталог або не використовує жодного;
• Ніхто не знає, чи говорять вони про одну й ту саму проблему;
• Фахівці з захисту витрачають дорогоцінний час, щоб з’ясувати, що не так;
• І найгірше — зловмисники користуються плутаниною.

Крім того, як сказала в інтерв’ю Аріадна Конілл, співзасновниця та провідний інженер компанії з технологічної безпеки Edera: “База даних CVE має вирішальне значення для міжнародної безпеки. Хоча існують сторонні бази даних, світ стандартизував ідентифікатори CVE як покажчики на дані про вразливості. Втрата послуг CVE буде катастрофічною. Кожна стратегія управління вразливостями у світі сьогодні сильно залежить від системи CVE та її ідентифікаторів і структурована навколо неї”.

Заглядаючи вперед, Конілл продовжила: “Бази даних вразливостей повинні використовувати пов’язані дані, щоб посилатися на ту саму вразливість у зовнішніх базах даних, а не залежати від ідентифікаторів CVE. Збагачення даних про вразливості можна здійснювати за допомогою технологій пов’язаних даних, таких як JSON-LD, які вже використовуються SPDX 3 та OpenVEX. В результаті Національна база даних вразливостей більше не буде потрібна, і розробники не будуть залежні від подібних рішень”.

Проте, поки цього не станеться, CVE залишатиметься критично важливою для всієї технологічної безпеки.

Як CVE опинилася так близько до закриття?

Йдеться про федеральні контракти та поточну плутанину з фінансами уряду США. MITRE керує програмою CVE протягом 25 років за підтримки Міністерства внутрішньої безпеки США (DHS) та CISA. MITRE виступає як редактор CVE та головний орган нумерації CVE (CNA), контролюючи присвоєння унікальних ідентифікаторів CVE, які слугують глобальним стандартом посилань на вразливості.

MITRE також керує пов’язаними програмами, такими як Common Weakness Enumeration (CWE), яка класифікує слабкі місця програмного та апаратного забезпечення.

Ми не знаємо, чому контракт не було продовжено до останнього можливого моменту. Однак ми знаємо, що — за часів DOGE — співробітникам CISA було дано час до опівночі понеділка, щоб обрати між тим, щоб залишитися на роботі, чи звільнитися. Ті, хто залишився, зіткнулися з можливістю звільнення, оскільки агентство зіткнулося зі скороченням штату до третини.

Пізно ввечері у вівторок, 15 квітня, CISA скористалася опціонним періодом контракту, щоб забезпечити безперебійне надання критично важливих послуг CVE. Цей опціон діє лише 11 місяців, після чого його потрібно буде продовжити — інакше ми знову опинимося в тій самій ситуації.

Хоча безпосередній ризик збою було відвернено, цей епізод підкреслив давні занепокоєння щодо стійкості та нейтральності програми CVE, яка використовується в усьому світі, але залежить від фінансування уряду США. Це також не перший випадок, коли брак коштів загрожував CVE. Минулого літа недостатнє фінансування не дозволило нікому керувати нескінченним потоком нових CVE.

Члени правління CVE заснували CVE Foundation, некомерційну організацію для забезпечення майбутньої стабільності та незалежності програми. Кент Лендфілд, один із засновників CVE та співробітник CVE Foundation, зазначив, що “CVE, як наріжний камінь глобальної екосистеми кібербезпеки, занадто важлива, щоб бути вразливою. Фахівці з кібербезпеки по всьому світу покладаються на ідентифікатори та дані CVE у своїй щоденній роботі, від інструментів безпеки та рекомендацій до розвідки про загрози та реагування на них. Без CVE захисники опиняються у величезній невигіді перед глобальними кіберзагрозами”.

Мета CVE Foundation — усунути цю єдину точку відмови в екосистемі управління вразливостями та забезпечити, щоб програма CVE залишалася глобально довіреною ініціативою, керованою спільнотою.

Кожне повідомлення про безпеку в списку CVE містить унікальний ідентифікатор, який називається CVE ID, опис вразливості та інформаційні посилання. Система дозволяє організаціям, фахівцям з безпеки та постачальникам чітко та послідовно спілкуватися щодо конкретних недоліків безпеки. Це, у свою чергу, сприяє відстеженню, оцінці та усуненню проблем. Більшості CVE присвоюється оцінка за шкалою Common Vulnerability Scoring System (CVSS). Це числова оцінка від 0 до 10, де чим вищий бал, тим небезпечніша діра в безпеці. Оцінки CVSS зазвичай використовуються для визначення того, наскільки швидко потрібно виправити проблему.

Ця стаття Чому база даних CVE для відстеження вразливостей ледве не зникла — і що буде далі раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар