يشهد قطاع الأمن السيبراني ارتفاعاً في حملات احتيال تستهدف أجهزة FortiGate، حيث يستغل المهاجمون هذه الأجهزة كبوابة لاختراق شبكات الضحايا. وقد سلط باحثون في مجال الأمن السيبراني الضوء على تزايد استغلال نقاط الضعف المعروفة أو بيانات الاعتماد الضعيفة في هذه الأجهزة.
يتمحور الهجوم حول استخلاص ملفات الإعدادات التي تحتوي على بيانات اعتماد حسابات الخدمة ومعلومات عن بنية الشبكة. تستهدف هذه الحملات بشكل خاص البيئات المرتبطة بقطاعات الرعاية الصحية، والحكومة، ومقدمي الخدمات المدارة، وفقاً لتقرير حديث.
استغلال أجهزة FortiGate كنقطة دخول
تتمتع أجهزة FortiGate، وهي عبارة عن جدران حماية متقدمة، بصلاحيات وصول واسعة إلى البيئات التي تم تركيبها لحمايتها. غالباً ما تشمل هذه الصلاحيات في العديد من التكوينات حسابات الخدمة المتصلة بالبنية التحتية للمصادقة، مثل Active Directory (AD) وبروتوكول الوصول الخفيف للدليل (LDAP).
يسمح هذا التكوين للأجهزة بربط الأدوار بمستخدمين محددين من خلال جلب سمات الاتصال الذي يتم تحليله ومقارنته بمعلومات الدليل. يصبح هذا الأمر مفيداً في الحالات التي يتم فيها تطبيق سياسات الأدوار أو لزيادة سرعة الاستجابة لتنبيهات أمن الشبكات التي تكتشفها الأجهزة.
من جهة أخرى، يمكن للمهاجمين استغلال هذا الوصول عند اختراق أجهزة FortiGate من خلال ثغرات أمنية معروفة أو إعدادات خاطئة. وتشمل بعض الثغرات التي تم استغلالها CVE-2025-59718 و CVE-2025-59719 و CVE-2026-24858.
تكتيكات المهاجمين
في أحد الحوادث التي تم رصدها، نجح المهاجمون في اختراق جهاز FortiGate في نوفمبر 2025. قاموا بعد ذلك بإنشاء حساب مسؤول محلي جديد باسم “support” واستخدموه لتعيين أربع سياسات جدار حماية جديدة تسمح للحساب بالمرور عبر جميع المناطق دون قيود.
ظل المهاجم يتفقد دورياً إمكانية الوصول إلى الجهاز، وهو إجراء يتوافق مع سلوك وسطاء الوصول الأوليين الذين يؤسسون موطئ قدم لهم ويبيعونه لمجرمين آخرين لتحقيق مكاسب مالية. في المرحلة التالية، تم اكتشاف نشاط مشبوه في فبراير 2026 عندما استخلص مهاجم ملف الإعدادات الذي يحتوي على بيانات اعتماد مشفرة لحسابات خدمة LDAP.
تشير الأدلة إلى أن المهاجم قام بالمصادقة مع Active Directory باستخدام بيانات اعتماد نص عادي من حساب خدمة fortidcagent. هذا يعني أن المهاجم تمكن من فك تشفير ملف الإعدادات واستخلاص بيانات اعتماد حساب الخدمة.
بعد ذلك، استغل المهاجم حساب الخدمة للمصادقة في بيئة الضحية وتسجيل محطات عمل مزيفة في Active Directory، مما منحه وصولاً أعمق. عقب هذه الخطوة، بدأ المسح الشبكي، وعند هذه النقطة تم اكتشاف الاختراق، وتم وقف المزيد من الحركة الجانبية.
نطاق أوسع للاختراق
في قضية أخرى تم التحقيق فيها في أواخر يناير 2026، تحرك المهاجمون بسرعة من الوصول إلى جدار الحماية إلى نشر أدوات الوصول عن بعد مثل Pulseway و MeshAgent. علاوة على ذلك، قام المهاجم بتنزيل برامج ضارة من مخزن سحابي عبر PowerShell من بنية تحتية تابعة لخدمات أمازون ويب (AWS).
استخدمت البرمجية الخبيثة، التي تم تشغيلها عبر تحميل جانبي لملف DLL، لاستخراج محتويات ملف NTDS.dit و SYSTEM registry hive إلى خادم خارجي باستخدام منفذ 443.
ومع ذلك، لم يتم تحديد أي استخدام لتلك البيانات المسروقة لكسر كلمات المرور بين وقت حصاد بيانات الاعتماد واحتواء الحادث.
في الختام، أصبحت أجهزة جدران الحماية المتقدمة (NGFW) منتشرة على نطاق واسع لأنها توفر إمكانيات مراقبة شبكة قوية للمؤسسات من خلال دمج ضوابط الأمان مع ميزات الإدارة الأخرى مثل Active Directory. لكن هذه الأجهزة تشكل أهدافًا ذات قيمة عالية للمهاجمين ذوي الدوافع ومستويات المهارة المتنوعة، بدءًا من الجهات الفاعلة المدعومة من الدول التي تقوم بالتجسس إلى الهجمات ذات الدوافع المالية مثل برامج الفدية.