أعلنت شركة Fortinet، الرائدة في مجال الأمن السيبراني، عن جهودها المكثفة لسد ثغرة أمنية جديدة مرتبطة بخاصية تسجيل الدخول الموحد (SSO) عبر FortiCloud، وذلك في أعقاب تقارير عن استغلال نشط لهذه الثغرة حتى على الأجهزة التي تم تحديثها بالكامل. وتأتي هذه التطورات لتسلط الضوء على التحديات المستمرة في مجال أمن الشبكات.
وفقًا لتصريحات كارل ويندسور، كبير مسؤولي أمن المعلومات في Fortinet، تم رصد عدد من الحالات خلال الـ 24 ساعة الماضية حيث استهدف الهجوم أجهزة تم تحديثها بالكامل إلى أحدث إصدار متاح وقت وقوع الهجوم. وأوضح أن هذا يشير إلى وجود مسار هجوم جديد لم يكن معروفًا سابقًا.
ثغرة FortiCloud SSO: تفاصيل الاستغلال الجديد
تتعلق الثغرة الجديدة، التي تحمل الرقم المرجعي CVE-2025-59718 و CVE-2025-59719، بقدرة الجهات الخبيثة على تجاوز مصادقة تسجيل الدخول الموحد (SSO) دون الحاجة لتصريح مسبق. يتم ذلك عبر إرسال رسائل SAML مصممة خصيصًا، وذلك في حال تفعيل خاصية FortiCloud SSO على الأجهزة المتأثرة. كانت Fortinet قد أصدرت تحديثات لمعالجة هذه المشكلات الشهر الماضي.
ومع ذلك، ظهرت تقارير في بداية الأسبوع الجاري عن نشاط متجدد، حيث تم رصد تسجيلات دخول احتيالية لخاصية SSO على أجهزة FortiGate. وقد استهدفت هذه الهجمات حسابات المسؤولين على أجهزة تم بالفعل تطبيق التحديثات اللازمة ضد الثغرتين. يتشابه هذا النشاط مع الحوادث التي لوحظت في ديسمبر، عقب الكشف عن CVE-2025-59718 و CVE-2025-59719.
آلية الهجوم ومسارات الاستغلال
تتضمن آلية الهجوم إنشاء حسابات عامة لتحقيق الاستمرارية في النظام، وإجراء تغييرات على الإعدادات لمنح هذه الحسابات صلاحيات الوصول عبر الشبكة الافتراضية الخاصة (VPN)، بالإضافة إلى استخراج ملفات تكوين جدار الحماية إلى عناوين IP مختلفة. وقد لوحظ أن الجهة المهاجمة تستخدم أسماء حسابات مثل “[email protected]” و “[email protected]”.
لمعالجة هذا الوضع، توصي Fortinet باتخاذ إجراءات وقائية محددة. تتضمن هذه الإجراءات تقييد الوصول الإداري إلى أجهزة الشبكة الطرفية عبر الإنترنت من خلال تطبيق سياسة وصول محلية (local-in policy)، وتعطيل تسجيل الدخول عبر FortiCloud SSO بإلغاء تفعيل الخيار “admin-forticloud-sso-login”.
تنبيهات أمنية إضافية
من جانبها، أكدت Fortinet على أن المشكلة تمتد لتشمل جميع تطبيقات SAML SSO، وليس فقط خاصية FortiCloud SSO التي لوحظ استغلالها حاليًا. وتؤكد الشركة على أهمية تطبيق الإجراءات الاحترازية لحماية البنية التحتية الرقمية.
يعكس هذا التطور أهمية اليقظة المستمرة والامتثال للتحديثات الأمنية الصادرة عن مزودي حلول الأمن السيبراني، خاصة في ظل التهديدات المتزايدة للمنظمات. كما يشدد على ضرورة اتباع أفضل الممارسات في مجال إدارة الثغرات الأمنية.