بدأت جهات تهديد سيبراني باستغلال ثغرات أمنية جديدة تم الكشف عنها مؤخرًا في أجهزة Fortinet FortiGate، وذلك بعد أقل من أسبوع من الإعلان العام عنها. تشير هذه التطورات إلى تصاعد مخاطر الأمن السيبراني التي تستهدف البنى التحتية للشبكات.
وفقًا لشركة Arctic Wolf للأمن السيبراني، تم رصد عمليات اختراق نشطة تستخدم تسجيل الدخول الأحادي (SSO) بشكل خبيث على أجهزة FortiGate يوم 12 ديسمبر 2025. وتستغل الهجمات ثغرتين حرجتين في تجاوز المصادقة (CVE-2025-59718 و CVE-2025-59719)، والتي تحمل درجات خطورة عالية تصل إلى 9.8 من 10.
استغلال ثغرات Fortinet FortiGate
أصدرت Fortinet تصحيحات لهذه الثغرات الأسبوع الماضي، وشملت التحديثات أنظمة FortiOS و FortiWeb و FortiProxy و FortiSwitchManager.
وأوضحت Arctic Wolf Labs في تقريرحديث أن هذه الثغرات تسمح بتجاوز مصادقة تسجيل الدخول الأحادي (SSO) دون الحاجة إلى بيانات اعتماد، وذلك عبر رسائل SAML مصممة خصيصًا، إذا كانت ميزة FortiCloud SSO مفعلة على الأجهزة المتأثرة.
تفاصيل الثغرات والأجهزة المتأثرة
من الجدير بالذكر أن ميزة FortiCloud SSO تكون معطلة افتراضيًا، ولكنها تُفعل تلقائيًا أثناء تسجيل FortiCare ما لم يقم المسؤولون بتعطيلها صراحةً باستخدام إعداد “السماح بتسجيل الدخول الإداري باستخدام FortiCloud SSO” في صفحة التسجيل.
وفي سياق النشاط الخبيث الذي رصدته Arctic Wolf، تم استخدام عناوين IP مرتبطة بمجموعة محدودة من مزودي خدمات الاستضافة، مثل The Constant Company llc و Bl Networks و Kaopu Cloud Hk Limited، لتنفيذ عمليات تسجيل دخول SSO خبيثة ضد حساب “admin”.
بعد نجاح عمليات الدخول، لوحظ أن المهاجمين يقومون بتصدير تكوينات الجهاز عبر واجهة المستخدم الرسومية (GUI) إلى نفس عناوين IP.
التوصيات والإجراءات الوقائية
في ضوء استمرار نشاط الاستغلال، يُنصح المؤسسات بتطبيق التصحيحات الأمنية في أسرع وقت ممكن. وكإجراءات وقائية، من الضروري تعطيل FortiCloud SSO مؤقتًا حتى يتم تحديث الأنظمة إلى أحدث إصدار.
إضافة إلى ذلك، يوصى بتقييد الوصول إلى واجهات إدارة جدران الحماية وأنظمة الشبكات الافتراضية (VPN) للمستخدمين الداخليين الموثوق بهم فقط. وهذا يقلل من سطح الهجوم المتاح للمهاجمين.
وفقًا لـ Arctic Wolf، على الرغم من أن بيانات الاعتماد عادة ما تكون مجزأة (hashed) في تكوينات أجهزة الشبكات، إلا أن الجهات التهديد معروفة بقدرتها على كسر هذه التجزئة دون اتصال بالإنترنت، خاصة إذا كانت بيانات الاعتماد ضعيفة وعرضة لهجمات القاموس.
يُنصح عملاء Fortinet الذين يجدون مؤشرات اختراق (IoCs) تتوافق مع الحملة الحالية بافتراض حدوث اختراق وإعادة تعيين بيانات الاعتماد المجزأة لجدران الحماية المخزنة في التكوينات التي تم تسريبها. التعامل مع أي مؤشرات تسرب بيانات يتطلب استجابة سريعة.