CVE-2025-24472

Fortinet FortiOS and FortiProxy

ВЫСОКАЯ ВЕРОЯТНОСТЬ

Дата обнаружения

2025-03-18

Официальное описание

Fortinet FortiOS and FortiProxy contain an authentication bypass vulnerability that allows a remote attacker to gain super-admin privileges via crafted CSF proxy requests.

🛡️

Технический анализ и план устранения

Суть уязвимости

CVE-2025-24472 представляет собой критическую уязвимость обхода аутентификации в механизме CSF (Cisco Security Fabric) proxy. Проблема заключается в недостаточной проверке входящих запросов, проходящих через прокси-сервис управления инфраструктурой.

Удаленный неавторизованный злоумышленник может отправить специально сформированный HTTP-запрос к интерфейсу управления, имитируя доверенный узел сети Fabric. Это позволяет полностью обойти процесс проверки учетных данных и получить доступ к устройству с правами super-admin, что ведет к полному компрометации FortiGate или FortiProxy.

Как исправить

Основным и рекомендуемым способом устранения уязвимости является обновление прошивки FortiOS / FortiProxy до версий, в которых данная ошибка исправлена.

Для FortiOS: Обновитесь до одной из следующих версий (или выше): * 7.0.17 * 7.2.11 * 7.4.6 * 7.6.1

Для FortiProxy: Обновитесь до одной из следующих версий (или выше): * 7.0.18 * 7.2.11 * 7.4.5

Команда для проверки текущей версии:

get system status

Команда для запуска процесса обновления (через FortiGuard):

execute restore config http <url_to_image>

Примечание: Рекомендуется выполнять обновление через GUI или загрузку образа в системный раздел.

Временные меры

Если немедленное обновление невозможно, необходимо ограничить векторы атаки, минимизировав доступ к интерфейсам управления и функционалу Fabric.

1. Ограничение доступа к административному интерфейсу (Local In Policy) Настройте доверенные хосты (Trusted Hosts) для всех учетных записей администраторов и ограничьте доступ к HTTPS/SSH только с определенных IP-адресов.

2. Отключение службы FortiTelemetry (CSF) на внешних интерфейсах Убедитесь, что протокол управления Fabric не разрешен на интерфейсах, смотрящих в публичные или недоверенные сети.

config system interface
    edit "wan1"
        set allowaccess ping ssh https
    next
end

(Удалите fabric или fortitelemetry из списка allowaccess)

3. Использование Management VDOM Изолируйте трафик управления в отдельный VDOM, не имеющий прямого доступа из интернета.

4. Настройка политик Local-In для блокировки порта 8013 Порт 8013 используется для взаимодействия FortiTelemetry. Если вы не используете Security Fabric, заблокируйте этот порт.

config firewall local-in-policy
    edit 1
        set intf "any"
        set srcaddr "all"
        set dstaddr "all"
        set action deny
        set service "fortitelemety-port"
        set schedule "always"
    next
end

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей