في الآونة الأخيرة، تم الكشف عن نشاط ضار يؤثر على جدران الحماية من فورتينت، مما يثير تساؤلات حول فعالية التحديثات الأمنية.
قام أحد المهاجمين باختراق جدران الحماية من فورتينت من خلال تسجيل الدخول باستخدام ميزة تسجيل الدخول الأحادي (SSO) على مدار الأسبوع الماضي، مما يثير القلق بشأن عدم تصحيح ثغرة تجاوز المصادقة التي تم الكشف عنها مسبقًا.
لاحظ الباحثون في مختبرات Arctic Wolf نشاطًا ضارًا بدأ في 15 يناير، والذي شمل تسجيل الدخول باستخدام SSO وتغييرات غير مصرح بها في إعدادات أجهزة FortiGate. بعد تسجيل الدخول إلى الأجهزة، قام المهاجم غير المعروف بإنشاء حسابات عامة، ومنح وصول VPN لتلك الحسابات، ثم استخراج تكوينات الجدار الناري، كما كتب مختبر Arctic Wolf في منشور مدونة يوم الأربعاء.
النشاط، الذي يشتبه الباحثون في أنه تم بشكل آلي، مشابه لحملة تهديد وثقتها Arctic Wolf في ديسمبر بعد الكشف عن ثغرتين حرجتين في فورتينت، CVE-2025-59718 وCVE-2025-59719.
أصدرت فورتينت تحديثات لتصحيح الثغرتين، ولكن تم استغلال CVE-2025-59718 – التي تسمح للمهاجمين بتجاوز مصادقة تسجيل الدخول عبر FortiCloud SSO – في البرية في وقت لاحق من ذلك الشهر. أضافت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) الثغرة إلى سجل الثغرات المعروفة المستغلة (KEV) بعد أيام قليلة من التقرير الأولي لـ Arctic Wolf في ديسمبر.
يتزامن النشاط الضار مع تقارير غير مؤكدة هذا الأسبوع من قبل مستخدمين عن تسجيلات دخول ضارة عبر SSO على أجهزة FortiGate التي تم تصحيحها من CVE-2025-59718. وقد أبلغ العديد من المستخدمين على subreddit r/Fortinet في الأيام الأخيرة عن اختراق جدران الحماية التي تم تحديثها إلى إصدارات FortiOS المصححة، مما يثير القلق من أن التصحيحات لم تخفف تمامًا من الثغرة.
“لا يُعرف في الوقت الحالي ما إذا كانت الأنشطة التهديدية الأخيرة التي لوحظت مغطاة بالكامل من قبل التصحيح الذي عالج في البداية CVE-2025-59718 وCVE-2025-59719″، حذرت مختبرات Arctic Wolf في منشور المدونة.
قال فريق البحث لـ Dark Reading إنه لم يتمكن من تحديد ما إذا كانت ثغرة التصحيح قد تم استغلالها. “نحن على علم بتقارير مستقلة تفيد بأن الأجهزة التي تم تصحيحها بالكامل تأثرت بأحدث مجموعة من النشاط التهديدي، لكننا غير قادرين على تأكيد ذلك بشكل قاطع”، كما تقول مختبرات Arctic Wolf.
تواصلت Dark Reading مع فورتينت للتعليق، لكن الشركة لم ترد في الوقت المحدد.
هجمات محتملة آلية على جدران الحماية من فورتينت
بعد أن تمكن المهاجم من الوصول إلى الأجهزة من خلال SSO، تم تنفيذ نشاط ضار إضافي – من إنشاء حسابات متعددة إلى استخراج بيانات التكوين – بسرعة، وفقًا لمختبرات Arctic Wolf.
“حدثت الأنشطة اللاحقة على حسابات الجدار الناري المخترقة في غضون ثوانٍ من بعضها البعض، مما يشير إلى إمكانية النشاط الآلي”، وفقًا لمنشور المدونة.
تقول مختبرات Arctic Wolf إن مجموعة النشاط الضار حدثت في إطار زمني قصير عبر عدة مناطق. ومع ذلك، يقول فريق البحث إنه لا يوجد مؤشر محدد على استخدام الذكاء الاصطناعي في تنفيذ الحملة.
تم استخراج بيانات التكوين إلى عدد قليل من عناوين IP. لحماية أنفسهم، حث فريق البحث عملاء فورتينت على تقييد الوصول إلى واجهات إدارة الجدار الناري وVPN على الشبكات الداخلية الموثوقة.
إذا تم اكتشاف تسجيلات دخول ضارة على الأجهزة، يجب على المسؤولين افتراض أن بيانات اعتماد الجدار الناري المشفرة قد تم اختراقها وإعادة تعيين تلك البيانات على الفور. قال باحثو مختبرات Arctic Wolf إن المهاجمين معروفون بكسر التشفيرات في وضع عدم الاتصال، خاصةً البيانات الضعيفة المعرضة لهجمات القاموس.
“نظرًا لأن النشاط التهديدي الموصوف في هذه الحملة ينطوي على تسجيلات دخول ضارة عبر SSO، فإن الحل البديل الذي قدمته فورتينت لـ CVE-2025-59718 وCVE-2025-59719 قد يكون جديرًا بالاعتبار”، كتبوا، محذرين العملاء من تعطيل ميزة تسجيل الدخول عبر FortiCloud SSO على أجهزتهم مؤقتًا.
تعتبر تسجيلات الدخول الضارة عبر SSO أحدث تهديد يواجه عملاء فورتينت هذا العام. في الأسبوع الماضي، تم استغلال ثغرة حرجة تؤثر على منصة FortiSIEM، CVE-2025-64155، في البرية.
يجب على مستخدمي فورتينت اتخاذ تدابير احترازية لحماية أنظمتهم من التهديدات المتزايدة.
