🚨FortiGate під прицілом: як файрвол стає точкою входу для всієї мережі. Днями #SentinelOne опублікував тривожний звіт: на початку 2026 року кілька організацій (охорона здоров'я, держсектор, MSP) постраждали від ланцюжка атак, де FortiGate NGFW використовувався як initial access point. 🔑Ключові моменти атаки: ⚫Експлуатація уразливостей SSO (CVE-2025-59718, CVE-2025-59719, CVE-2026-24858) або слабкі/дефолтні паролі. ⚫Створення нового локального адміністратора (часто "support" або "ssl-admin"). ⚫Налаштування наддозволених firewall-політик (any-to-any). ⚫Вилучення конфіга → розшифровка сервісних облікових записів (LDAP/AD, наприклад fortidcagent). ⚫Аутентифікація в Active Directory → реєстрація rogue-машин у домені. ⚫Деплой RMM (Pulseway, MeshAgent), завантаження малварі через PowerShell з AWS. ⚫Ексфільтрація NTDS.dit + SYSTEM hive на зовнішній сервер. 🟰Підсумок: один скомпрометований периметровий девайс → повний доступ до AD, підготовка до ransomware або шпигунства. ⚠️FortiGate часто має глибокий доступ до LDAP/AD для SSO та policy enforcement — саме тому компрометація файрволу дає такий потужний плацдарм. Що робити прямо зараз: 🔵 Перевірити, чи закритий management-інтерфейс від інтернету (local-in policy!). 🔵Перевірити, що FortiOS оновлено до останніх патчів. 🔵Вимкнути FortiCloud SSO, якщо не критично необхідно. 🔵Включити MFA на всі адмін-доступи 🔵Моніторити створення нових адмінів, підозрілі політики та експорт конфігів. 🔵Налаштувати алерти на аномальну активність із самого FortiGate. Будьте пильні - периметрові пристрої вже давно не просто "файрвол", а високопріоритетна мета.