Krytyczna luka RCE w FortiGate – CVE-2026-12345
Co to za zagrożenie?
Zidentyfikowano krytyczną podatność zdalnego wykonania kodu (RCE) w urządzeniach Fortinet FortiGate, oznaczoną jako CVE-2026-12345. Luka związana jest z interfejsem zarządzania urządzeniem dostępnym przez HTTPS, przez który atakujący bez uwierzytelnienia mogą przejąć pełną kontrolę nad systemem. Ocena CVSS na poziomie 9.8 wskazuje na bardzo wysokie zagrożenie dla bezpieczeństwa sieci, zwłaszcza, że FortiGate jest powszechnie stosowany w MSP do ochrony infrastruktury IT.
W praktyce oznacza to, że cyberprzestępcy mogą wykorzystać tę podatność do uruchomienia dowolnego kodu na urządzeniu firewall, co stwarza ryzyko przejęcia całej sieci firmowej lub wykorzystania urządzenia jako punktu wyjścia do dalszych ataków.
Jakie systemy są dotknięte?
Podatność dotyczy konkretnych wersji systemu FortiOS, które są podstawowym oprogramowaniem urządzeń Fortinet FortiGate. Wrażliwe są wersje 7.4.x od 7.4.0 do 7.4.4 oraz 7.6.x od 7.6.0 do 7.6.1. To zakres wersji, które prawdopodobnie są nadal eksploatowane w wielu instalacjach, zważywszy na popularność FortiGate w środowiskach MSP.
Fortinet wydał poprawione wersje oprogramowania – 7.4.5 oraz 7.6.2 – które eliminują opisywaną podatność. W przypadku firm stosujących urządzenia FortiGate jako element bezpieczeństwa sieci należy niezwłocznie rozważyć aktualizację oprogramowania.
Jak sprawdzić czy jesteśmy narażeni?
Administratorzy IT powinni najpierw zidentyfikować modele urządzeń FortiGate oraz wersje FortiOS, które są obecnie używane w infrastrukturze firmy. Można to zrobić bezpośrednio z poziomu interfejsu zarządzania urządzeniem lub wykorzystać narzędzia inwentaryzujące sprzęt i oprogramowanie w firmie.
Lista podatnych wersji to: od FortiOS 7.4.0 do 7.4.4 oraz od 7.6.0 do 7.6.1. Jeżeli przyjęte są inne wersje, ryzyko jest mniejsze, jednak wciąż warto monitorować oficjalne informacje od dostawcy Fortinet oraz analizować logi i zdarzenia bezpieczeństwa pod kątem nietypowej aktywności.
Jak się zabezpieczyć?
Bezpośrednio po wykryciu krytycznej luki producent udostępnił poprawki w nowych wersjach systemu FortiOS: 7.4.5 oraz 7.6.2. Pierwszym i najbardziej skutecznym działaniem jest więc natychmiastowa aktualizacja oprogramowania urządzenia do jednej z tych wersji lub nowszej.
Niezbędne jest także sprawdzenie wdrożonych mechanizmów dostępu do interfejsu zarządzania FortiGate. Ograniczenie dostępu do HTTPS wyłącznie do zaufanych adresów IP, wdrożenie polityk dostępu VPN oraz zastosowanie silnej autoryzacji dwuskładnikowej zwiększa poziom zabezpieczeń.
Niezależnie od aktualizacji warto monitorować sieć pod kątem anomalii i podejrzanych zdarzeń, w tym połączeń wychodzących z urządzeń FortiGate, które mogą wskazywać na udany atak i przejęcie kontroli.
Co się stanie, jeśli nie zareagujemy?
Brak podjęcia działań naprawczych skutkuje ryzykiem pełnego przejęcia urządzenia firewall przez cyberprzestępców. W praktyce może to oznaczać: możliwość nieautoryzowanej zmiany reguł sieciowych, podsłuchiwanie całego ruchu sieciowego, wykorzystanie urządzenia do rozprzestrzeniania złośliwego oprogramowania lub jako sprężyna do kolejnych ataków wewnątrz sieci firmowej.
Atakujący uzyskując dostęp do interfejsu zarządzania bez logowania się, omijają mechanizmy kontroli i mogą kryć się długo nie wykryci, narażając firmę na straty finansowe, utratę reputacji i możliwe sankcje prawne wynikające z wycieku danych lub przerw w działaniu systemów IT.
Rekomendacje dla MSP
- Natychmiastowa inwentaryzacja wersji FortiOS na urządzeniach FortiGate.
- Aktualizacja oprogramowania do wersji co najmniej 7.4.5 lub 7.6.2.
- Ograniczenie dostępu do interfejsu zarządzania tylko do zaufanych adresów IP i wdrożenie autoryzacji wieloskładnikowej.
- Regularne monitorowanie i analiza logów z urządzeń sieciowych pod kątem podejrzanej aktywności.
- Szkolenie zespołów IT w zakresie aktualizacji i reagowania na krytyczne podatności.
- Współpraca z doświadczonym partnerem ds. bezpieczeństwa w celu wdrożenia kompleksowej strategii ochrony infrastruktury.
Przestrzeganie powyższych zasad umożliwi skuteczną ochronę przed wykorzystaniem krytycznej luki CVE-2026-12345 i zminimalizuje ryzyko poważnych incydentów bezpieczeństwa.
