FortiNet csapdájába esve
SonarSource több, egymással kombinálható sebezhetőséget azonosított a FortiClient, FortiClient EMS, valamint a FortiOS/FortiProxy termékekben. Ezek együttesen lehetővé teszik a támadók számára, hogy minimális interakciót igényelve teljes kontrollt szerezzenek – a rendszer szintű jogosultságoktól egészen a szervezet intranetjének bénításáig.
Az első részben a CVE‑2025‑22855 sérülékeyégre fókuszálnak, amely az EMS‑ben található, egy speciálisan kialakított hivatkozás megnyitásával lehetővé válik tetszőleges kód futtatása az áldozat gépén. Ez az Electron-alapú UI miatt különösen veszélyes, mivel Chromium/Node.js komponensek is érintettek.
A kampánysorozat más elemei – beleértve a CVE‑2025‑25251 és CVE‑2025‑31365 Mac-fortikidek, továbbá a CVE‑2025‑22859/22855 EMS-sebezhetőségek – szintén lehetőséget biztosítanak az EDR/endpoint rendszer teljes kikerülésére, rendszergazdai privilégiumok szerzésére. Végül a CVE‑2025‑31366 FortiOS/FortiProxy hiba a hálózati eszközökön való közvetlen RCE-t teszi lehetővé.
A Fortinet ugyan nem észlelt aktív támadást, de Sonar felhívja a figyelmet, a CVSS-alapú besorolások nem tükrözik megfelelően a láncolást, amely teljes körű szervezeti átvételt tesz lehetővé.
