Útočníci znovu míří na firewally Fortinet. A tentokrát automatizovaně
Kyberbezpečnostní společnost Arctic Wolf upozornila na novou vlnu automatizovaných útoků, které cílí na firewally Fortinet FortiGate. Aktivita byla zaznamenána od poloviny ledna 2026 a zahrnuje neoprávněné změny konfigurace zařízení, vytváření účtů pro perzistenci a exfiltraci konfigurace firewallů.
Kyberbezpečnostní společnost Arctic Wolf upozornila na novou vlnu automatizovaných útoků, které cílí na firewally Fortinet FortiGate. Aktivita byla zaznamenána od poloviny ledna 2026 a zahrnuje neoprávněné změny konfigurace zařízení, vytváření účtů pro perzistenci a exfiltraci konfigurace firewallů.
Útočníci zneužívají slabiny v oblasti FortiCloud Single Sign-On (SSO) a dokážou se dostat k administrátorskému rozhraní bez znalosti přihlašovacích údajů. Znepokojivé je, že celý útok probíhá extrémně rychle – během několika sekund – což výrazně snižuje šanci na včasnou detekci.
Co víme o technice útoku
Podle dostupných informací jsou zneužívány zranitelnosti CVE-2025-59718 a CVE-2025-59719, které umožňují obejít SSO autentizaci pomocí upravených SAML zpráv v případě, že je na zařízení povoleno FortiCloud SSO. Nejde přitom pouze o FortiGate, ale o širší ekosystém Fortinet produktů.
Po úspěšném přístupu útočníci vytvářejí nové administrátorské účty s nenápadnými názvy, nastavují jim VPN přístup a následně exportují kompletní konfiguraci firewallu. Ta útočníkům poskytuje detailní přehled o síťové architektuře organizace a připravuje půdu pro další fáze útoku.
Proč je to relevantní i pro české organizace
Na tuto vlnu útoků upozornil také Národní úřad pro kybernetickou a informační bezpečnost. To potvrzuje, že nejde o okrajový incident, ale o reálně probíhající hrozbu, která se může dotknout i organizací v České republice.
Doporučení v tuto chvíli zahrnují především omezení nebo vypnutí FortiCloud SSO přihlášení a důslednou kontrolu změn v konfiguraci firewallů.
Co z toho plyne
Celý případ ukazuje, že moderní útoky na perimetr jsou stále více automatizované, rychlé a nenápadné. Namísto okamžité destrukce se útočníci zaměřují na tiché převzetí kontroly a sběr informací, které mohou být zneužity později.
Firewally, tradičně vnímané jako poslední obranná linie, se tak znovu dostávají do role primárního cíle.
Co běžná doporučení neříkají – a kde administrátoři nejčastěji selhávají?
Jaké konkrétní stopy tento útok zanechává v logách FortiGate?
Jak poznat, že export konfigurace už proběhl, i když firewall stále „funguje“?
A proč může být zařízení kompromitované i v případě, že je plně aktualizované?
To vše v částí pro předplatitele CCTV+
Udělejte si radost. Zkuste CZECH CYBER TV jen za 125 Kč za měsíc
Jste předplatitel?
Přihlásit se- •Předplatné CZECH CYBER TV už od 125 korun měsíčně při platbě na rok.
- •Ušetříte 75 korun měsíčně.
- •Automatické obnovování předplatného můžete kdykoli zrušit.