FortiOS: Ranjivost zaobilaženja provjere identiteta (CVE-2026-22153)

FortiOS ranjivost zaobilaženja provjere identiteta otkrivena je u nedavnom istraživanju sigurnosnog stručnjaka Jort Geurts – Actemium Cyber Security Team. Ovaj nalaz naglašava ključnu važnost snažnih protokola za provjeru identiteta, jer samo tako može biti spriječen neovlašteni pristup osjetljivim mrežama i sistemima.

FORTIOS RANJIVOST

Ranjivost zaobilaženja provjere identiteta CVE-2026-22153 koju je otkrio sigurnosni istraživač Jort Geurts pogađa demon fnbamd, ključnu komponentu FortiOS koja obrađuje prijave korisnika za različite funkcije, uključujući virtualne privatne mreže (VPN) bez agenta i Fortinet Single Sign-On (FSSO).

U osnovi problema nalazi se veza između zaštitnog zida i LDAP servera, koji se koristi za provjeru podataka za prijavu i sprovođenje pravila pristupa. Kada korisnik unese svoje podatke, FortiOS uređaj šalje zahtjev LDAP serveru radi provjere. Server zatim vraća odgovor o uspjehu ili neuspjehu, zavisno od toga da li se podaci podudaraju sa onima u njegovoj bazi.

Ako je LDAP server podešen da dozvoli prijave bez potvrde identiteta, on omogućava anonimne veze bez traženja stvarnih podataka. U takvim slučajevima, čak i kada FortiOS uređaj traži provjeru, server može vratiti poruku o uspjehu bez stvarne provjere. Ova greška spada pod CWE–305, “Zaobilaženje provjere identiteta primarnom ranjivošću“.

Demon fnbamd ima presudnu ulogu u rukovanju prijavama, pa njegovo nepravilno funkcionisanje može ozbiljno ugroziti bezbjednost mreže. Ranjivost se odnosi ne samo na virtualne privatne mreže (VPN) bez agenta, već i na FSSO politike, koje zavise od tačne provjere identiteta radi kontrole pristupa.

Fortinet je ovoj ranjivosti dodijelio CVSSv3 ocjenu 7,5, svrstavajući je u kategoriju visoke ozbiljnosti. Uspješno iskorištavanje moglo bi omogućiti zlonamjernom akteru bez potvrđenog identiteta da zaobiđe pravila pristupa za virtualne privatne mreže (VPN) bez agenta ili FSSO, što bi dovelo do neovlaštenog ulaska u mrežu i pristupa zaštićenim resursima bez važećih podataka za prijavu.

 

Pogođene verzije i ispravke

U operativnom sistemu FortiOS, kritičnoj komponenti FortiGate serije zaštitnih zidova, identifikovana je ranjivost u verzijama od 7.6.0 do 7.6.4. Obim problema ograničen je na ovaj raspon verzija, dok druge grane, poput FortiOS 8.0, 7.4, 7.2, 7.0 i 6.4, ostaju netaknute. Administratorima koji upravljaju FortiGate zaštitnim zidovima savjetuje se da nadograde sisteme na najnovije dostupne verzije, tačnije FortiOS 7.6.5 ili novije.

Zvanični alat za putanju nadogradnje preporučuje se kao pouzdan način da se obezbijedi pravilno sprovođenje svih potrebnih ažuriranja u tačnom redosljedu. Ovaj pristup pomaže u izbjegavanju problema sa kompatibilnošću i drugih neželjenih posljedica koje mogu nastati usljed nepravilnih nadogradnji.

U slučajevima kada trenutna ispravka nije moguća, administratori mogu primijeniti alternativno rješenje radi smanjenja rizika. Konkretno, onemogućavanje povezivanja bez potvrde identiteta na LDAP serveru može neutralisati vektor zaobilaženja napada i spriječiti pokušaje neovlaštenog pristupa.

Ovaj postupak podrazumijeva izmjenu podešavanja konfiguracije u okruženju Windows Active Directory (posebno za Server 2019+). PowerShell isječak koji se koristi za primjenu ovih promjena izgleda ovako:

 

$configDN = (Get-ADRootDSE).configurationNamingContext

$dirSvcDN = “CN=Directory Service,CN=Windows NT,CN=Services,$configDN”

Set-ADObject -Identity $dirSvcDN -Add @{‘msDS-Other-Settings'='DenyUnauthenticatedBind=1’}

 

Izvršavanjem ove komande administratori mogu efikasno onemogućiti povezivanja bez potvrde identiteta na LDAP serveru i spriječiti potencijalna zaobilaženja napada. Nakon primjene promjena, neophodno je ponovo pokrenuti kontroler domena.

Rješavanje ove ranjivosti od izuzetnog je značaja, naročito za organizacije koje se oslanjaju na FortiGate zaštitne zidove kao ključnu komponentu mrežne bezbjednosti. Zanemarivanje problema moglo bi dovesti do pokušaja neovlaštenog pristupa od strane zlonamjernih aktera koji žele da iskoriste ranjivosti sistema.

 

Razmatranje nadogradnje

Prilikom nadogradnje verzija FortiOS od 7.6.0 do 7.6.4 na preporučenu verziju (FortiOS 7.6.5 ili noviju), administratori moraju pažljivo razmotriti sve faktore kako bi obezbijedili nesmetanu integraciju novih funkcija, ispravki i ažuriranja sa postojećim sistemima i uslugama.

Zvanični alat za putanju nadogradnje predstavlja pouzdano sredstvo koje vodi kroz čitav proces, pružajući detaljna uputstva prilagođena određenim verzijama i konfiguracijama. Na taj način se sprječavaju problemi sa kompatibilnošću koji mogu nastati usljed slučajnih nadogradnji ili pogrešnog redosljeda ažuriranja.

Administratori bi trebalo da se oslone na Fortinet dokumentaciju radi preciznih uputstava o nadogradnji svojih sistema, uključujući sve potrebne preduslove, zavisnosti i promjene konfiguracije koje je neophodno sprovesti prije primjene novih ispravki ili funkcija.

U situacijama kada nadogradnja ne može biti izvršena zbog operativnih ograničenja, moguće je primijeniti alternativne zaštitne mjere radi smanjenja rizika povezanih sa ranjivošću. Jedna od preporučenih mjera jeste onemogućavanje povezivanja bez potvrđenog identiteta na LDAP serveru, čime se ublažava prijetnja od zlonamjernih aktera koji pokušavaju da iskoriste ranjivosti u starijim verzijama FortiOS.

Dati PowerShell isječak predstavlja jednostavan, ali efikasan način da se ove promjene sprovedu u Windows Active Directory okruženjima (posebno za Server 2019+). Izvršavanjem komande i ponovnim pokretanjem kontrolera domena, administratori mogu odbiti povezivanja bez potvrđenog identiteta na LDAP serveru i time spriječiti potencijalne pokušaje zaobilaženja zaštite.

 

UTICAJ

Ranjivost u FortiOS označena kao CVE-2026-22153 direktno utiče na način provjere identiteta u mrežnim okruženjima. Problem se nalazi u komponenti fnbamd, koja obrađuje prijave korisnika, pa svaka nepravilnost u njenom radu može omogućiti da zlonamjerni akteri dobiju pristup mreži bez stvarnih podataka za prijavu. Time se otvara put ka osjetljivim sistemima i resursima, što povećava rizik od zloupotrebe i širenja napada.

Poseban značaj ranjivost ima u okruženjima gdje se koriste virtualne privatne mreže (VPN) bez agenta i FSSO politike. Ove funkcije zavise od tačne provjere identiteta radi kontrole pristupa, pa njihova kompromitacija dovodi do gubitka svrhe zaštitnih pravila. Posljedica je da mrežni segmenti, koji bi inače bili zatvoreni, postaju dostupni, čime se narušava osnovna sigurnosna arhitektura.

Dodatni problem proizlazi iz načina komunikacije FortiOS sistema sa LDAP serverima. Ako je LDAP podešen da prihvata anonimne veze, ranjivost omogućava da se prijava tretira kao uspješna iako nije izvršena stvarna provjera. To znači da sigurnosni mehanizmi zavise od konfiguracije vanjskog sistema, pa greška u jednoj tački može izazvati domino efekat na cijelu mrežu.

Organizacije koje koriste FortiGate zaštitne zidove suočavaju se sa povećanim rizikom od neovlaštenog pristupa. Zlonamjerni akter koji iskoristi ovu ranjivost može zaobići standardne kontrole i dobiti pristup resursima koji su inače zaštićeni. Time se ugrožava povjerljivost podataka, stabilnost poslovnih procesa i sigurnost korisnika unutar mreže.

Uticaj se ne ograničava samo na tehnički nivo, već zahvata i operativni rad. Svaka mreža koja koristi pogođene verzije FortiOS postaje ranjiva na pokušaje zaobilaženja zaštite, što dovodi do povećane nesigurnosti i smanjenja povjerenja u sigurnosnu infrastrukturu.

 

ZAKLJUČAK

Ranjivost otkrivena u FortiOS otvara pitanje odnosa između sigurnosnih mehanizama i oslanjanja na vanjske servise. Kada se pokaže da jedan segment sistema može biti zaobiđen, to ukazuje na širu sliku u kojoj se povjerenje u infrastrukturu dovodi u pitanje. Takvi nalazi podsjećaju da sigurnost nije ograničena na jedan uređaj, već se proteže kroz cijeli lanac povezanih komponenti.

Posebno je značajno što se problem javlja u dijelu sistema zaduženom za provjeru identiteta. Time se pokazuje koliko je osjetljivo područje prijava korisnika i kontrole pristupa. Svaka ranjivost u tom procesu ima dalekosežne posljedice, jer upravo taj mehanizam određuje ko može, a ko ne može ući u mrežu.

Otkrivanje ovakvih propusta ukazuje i na važnost pažljivog praćenja verzija softvera. Razlike između grana i izdanja pokazuju da ranjivost nije uvijek jednako prisutna, već zavisi od specifičnih okolnosti. To otvara prostor za razmišljanje o tome kako se sigurnosni problemi razvijaju i mijenjaju kroz različite faze razvoja sistema.

Na kraju, činjenica da se ranjivost vezuje za način povezivanja sa LDAP serverom pokazuje složenost međusobnih zavisnosti. Kada jedan dio sistema dozvoli propust, on se prenosi dalje i utiče na cijelu mrežnu strukturu. Takva situacija naglašava da sigurnost nije statična, već stalno zavisi od načina na koji se različiti elementi povezuju i funkcionišu.