تعتبر الثغرات الأمنية في أنظمة Fortinet الحديثة مصدر قلق كبير، حيث تم الإبلاغ عن استغلال نشط لهذه الثغرات مما يتطلب اتخاذ إجراءات فورية.
أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة أمنية تم الكشف عنها مؤخرًا تؤثر على منصات أمان الشبكات وإدارتها من Fortinet إلى قائمة الثغرات المعروفة المستغلة (KEV)، مشيرة إلى وجود أدلة على استغلال نشط.
تتبع الثغرة المعروفة باسم CVE-2025-59718 (درجة CVSS: 9.1) واحدة من ثغرتين حرجتين في تجاوز المصادقة – الأخرى هي CVE-2025-59719 (درجة CVSS: 9.1) – التي كشفت عنها Fortinet في 9 ديسمبر في منتجات FortiOS وFortiWeb وFortiProxy وFortiSwitchManager.
تجاوز المصادقة
تسمح كلتا الثغرتين لمهاجم غير مصادق له بتجاوز مصادقة تسجيل الدخول SSO باستخدام رسائل SAML مصممة خصيصًا، عندما تكون ميزة FortiCloud SSO مفعلة. تتعلق الثغرات بالتحقق غير السليم من التوقيعات التشفيرية وتمنح المهاجمين وسيلة لتولي السيطرة الإدارية على الأجهزة المتأثرة دون ضوابط صحيحة.
تعتبر مثل هذه الثغرات هدفًا متكررًا للمهاجمين لأن الاستغلال الناجح يمكن أن يمنح المهاجمين السيطرة على محيط الشبكة بالكامل وتدفق الحركة. وتشكل “مخاطر كبيرة على المؤسسات الفيدرالية” كما ذكرت CISA في إشعارها حول إضافة CVE-2025-59718 إلى قائمة KEV. يجب على الوكالات الفيدرالية المدنية إصلاح الثغرة بحلول 23 ديسمبر أو التوقف عن استخدام منتجات Fortinet المتأثرة حتى يتم معالجة المشكلة وفقًا لتوجيهات البائع.
وفقًا لشركة Arctic Wolf، يبدو أن نشاط الهجمات المستهدف لكلتا الثغرتين قد بدأ في 12 ديسمبر، بعد ثلاثة أيام فقط من كشف Fortinet عنهما. لاحظ الباحثون في شركة الأمان عمليات اختراق تتضمن تسجيلات دخول SSO خبيثة على أجهزة FortiGate originating من عدد قليل من مزودي الاستضافة مع عناوين IP محددة في ألمانيا والولايات المتحدة وآسيا.
استهدفت تسجيلات الدخول الخبيثة بشكل أساسي حسابات الإدارة. بعد تجاوز المصادقة بنجاح، قام المهاجمون بتصدير تكوينات الأجهزة بما في ذلك بيانات الاعتماد المشفرة ومعلومات حساسة أخرى، إلى نفس عناوين IP المستخدمة في الاختراق الأول، وفقًا لشركة Arctic Wolf.
في إشعارها، وصفت Fortinet ميزة FortiCloud SSO بأنها معطلة بشكل افتراضي في إعدادات المصنع. ومع ذلك، يتم تفعيل الميزة تلقائيًا عندما يسجل المسؤولون الأجهزة من خلال واجهة المستخدم الرسومية باستخدام FortiCare. “ما لم يقم المسؤول بإيقاف تشغيل “السماح بتسجيل الدخول الإداري باستخدام FortiCloud SSO” في صفحة التسجيل، يتم تفعيل تسجيل الدخول FortiCloud SSO عند التسجيل”، قالت Fortinet.
قد يكون هذا الخيار التصميمي قد ترك المزيد من الأجهزة عرضة للخطر أكثر مما قد تدركه المؤسسات التي تستخدمها. “يستهدف المهاجمون عادةً واجهات إدارة جدران الحماية وVPNs للاستغلال الجماعي، وغالبًا ما يعتمدون على محركات بحث متخصصة تسهل تحديد تكوينات الأجهزة المحددة”، لاحظ باحثو Arctic Wolf في تحليلهم.
الحاجة إلى السرعة
أصدرت Fortinet تصحيحات عبر عدة خطوط إنتاج. بالنسبة لـ FortiOS، تتوفر التصحيحات في الإصدارات 7.6.4 و7.4.9 و7.2.12 و7.0.18 أو أعلى. تتوفر تصحيحات مماثلة لـ FortiProxy وFortiSwitchManager وFortiWeb. من الجدير بالذكر أن FortiOS 6.4 وFortiWeb 7.0 وFortiWeb 7.2 غير متأثرة بالثغرات.
يمكن للمؤسسات التي لا تستطيع تصحيح الثغرات على الفور تنفيذ حل مؤقت عن طريق تعطيل ميزة تسجيل الدخول FortiCloud من خلال إعدادات النظام أو واجهة سطر الأوامر، قالت Fortinet. وقد أوصت الشركة بأن تتخذ المؤسسات المتأثرة هذه الخطوة حتى تتمكن من الترقية إلى إصدارات غير متأثرة.
“تتطلب تصحيحات أجهزة Fortinet نوافذ صيانة لتجنب انقطاع الإنتاج، لكن الخطر الفوري ليس سرعة التصحيح، بل تعرض واجهات الإدارة المتصلة بالإنترنت”، يقول بيشوش شارما، الرئيس التنفيذي والمؤسس المشارك لشركة Tuskira في تعليقات له لموقع Dark Reading. يمكن للمؤسسات تنفيذ حلول فورية من خلال تعطيل الوصول الإداري عبر http/https أو تقييده إلى عناوين IP موثوقة أثناء اختبار التصحيحات، كما يقول. تتطلب الدفاعات طويلة الأمد التحقق المستمر عبر المراقبة في الوقت الحقيقي لعلامات الاختراق (IoCs) مثل حسابات الإدارة غير المصرح بها، وجلسات jsconsole المشبوهة، ومصادقة SSL VPN غير المتوقعة، كما يقول شارما.
تريد Arctic Wolf أن تفترض المؤسسات المتأثرة أن بيانات اعتمادها قد تم اختراقها إذا لاحظت نشاطًا مشبوهًا يتوافق مع الأنماط المرتبطة بالهجمات على الثغرات. توصي الشركة بأن تقوم هذه المؤسسات بإعادة تعيين بيانات اعتماد جدران الحماية على الفور والترقية إلى الإصدارات المصححة من المنتجات المتأثرة في أقرب وقت ممكن. “على الرغم من أن بيانات الاعتماد عادةً ما تكون مشفرة في تكوينات الأجهزة الشبكية، إلا أن المهاجمين معروفون بكسر التشفيرات في وضع عدم الاتصال، خاصةً إذا كانت بيانات الاعتماد ضعيفة ومعرضة لهجمات القاموس”، ذكرت الشركة الأمنية.
“تعتبر أجهزة Fortinet أهدافًا ذات قيمة عالية لأنها تتحكم في سياسات الجدران النارية، والوصول إلى VPN، وتوجيه الحركة عند محيط الشبكة”، يقول شارما، موصيًا المؤسسات بتصحيح الثغرات بسرعة. يمكن أن يمكّن الاختراق الواحد المهاجمين من إنشاء حسابات وهمية، وتعديل السياسات الأمنية، وإقامة أنفاق SSL VPN للحركة الجانبية، كما يضيف. “في الحملة الحالية، يسرق المهاجمون ملفات التكوين التي تحتوي على تخطيط الشبكة وبيانات الاعتماد لدعم الهجمات المستقبلية، مما يتطلب عدم وجود مصادقة إذا كانت واجهات الإدارة معرضة للخطر.”
تأكد من تحديث أنظمتك بشكل دوري وتطبيق كافة التصحيحات اللازمة لحماية بياناتك ومعلوماتك الحساسة.
