حذرت شركة الأمن السيبراني Arctic Wolf من ظهور حملة اختراق جديدة تستهدف أجهزة Fortinet FortiGate، حيث تتضمن تغييرات غير مصرح بها في إعدادات جدران الحماية. بدأ هذا النشاط الخبيث في 15 يناير 2026، ويشبه هجمات سابقة شهدتها الأجهزة نفسها.
تشير التحقيقات الأولية إلى أن الهجمات الجديدة تستغل ثغرات أمنية تسمح للمهاجمين بتجاوز المصادقة الواحدة (SSO) عند تفعيل خاصية FortiCloud SSO على أجهزة FortiGate المتأثرة. هذه الثغرات، التي تم استغلالها سابقاً في ديسمبر 2025، تتيح الوصول غير المصرح به إلى حسابات المسؤولين.
حملة اختراق جديدة تستهدف Fortinet FortiGate
وفقاً لـ Arctic Wolf، تهدف هذه الحملة الجديدة إلى إنشاء حسابات وهمية لضمان استمرار الوصول، وتغيير الإعدادات لمنح هذه الحسابات صلاحيات الوصول عبر VPN، بالإضافة إلى سرقة ملفات إعدادات جدران الحماية. تم رصد تسجيل دخول خبيث عبر SSO باستخدام حساب “[email protected]” من عدة عناوين IP مختلفة، تلى ذلك تصدير ملفات إعدادات جدران الحماية إلى نفس العناوين.
من جهة أخرى، فقد رصدت الشركة قيام المهاجمين بإنشاء حسابات ثانوية بأسماء مثل “secadmin”، “itadmin”، “support”، “backup”، “remoteadmin”، و”audit” لأغراض الاستمرارية. وتشير سرعة تنفيذ هذه العمليات، التي تتم في غضون ثوانٍ، إلى احتمال استخدام تقنيات مؤتمتة بالكامل.
تداعيات الثغرات الأمنية
تتزامن هذه المعلومات مع تقارير لمستخدمين على منصات تقنية أكدوا فيها رؤيتهم لمحاولات تسجيل دخول خبيثة عبر SSO حتى على أجهزة FortiOS المحدثة بالكامل. وأفاد أحد المستخدمين بأن فريق مطوري Fortinet أكد استمرار وجود الثغرة أو عدم إصلاحها بشكل كامل في النسخة 7.4.10.
من جانبها، تواصل The Hacker News متابعة الأمر وسعت للحصول على تعليق من Fortinet. وفي غضون ذلك، يُنصح بشدة بتعطيل إعداد “admin-forticloud-sso-login” في أجهزة FortiGate كإجراء وقائي فوري للحماية من هذه التهديدات.
تتأثر بهذه الثغرات أنظمة تشغيل مثل FortiOS، بالإضافة إلى منتجات FortiWeb، FortiProxy، و FortiSwitchManager. ويُعد رصد هذه الأنشطة مؤشراً على تطور أساليب التهديد السيبراني، مما يستدعي يقظة مستمرة وتحديثات دورية للأنظمة الأمنية.