تواجه شركة فورتينت أزمة جديدة بعد اكتشاف ثغرة زيرو داي تؤثر على ميزة تسجيل الدخول الموحد، مما يفتح المجال لعمليات تسجيل دخول خبيثة.
أكدت شركة فورتينت أن ثغرة جديدة من نوع زيرو داي قيد الاستغلال كانت السبب وراء سلسلة من عمليات تسجيل الدخول الخبيثة عبر ميزة تسجيل الدخول الموحد (SSO) في فورتا كلاود.
كشفت الشركة المتخصصة في الأمن السيبراني يوم الثلاثاء عن الثغرة CVE-2026-24858، وهي ثغرة حرجة في تجاوز المصادقة بتقييم CVSS يبلغ 9.8، تؤثر على فورتيوس، فورتيمانجر، فورتا أناليزر، فورتا بروكسي، وفورتا ويب. وفقًا لتحذير فورتينت، يسمح استغلال هذه الثغرة للمهاجم بتسجيل الدخول إلى جهاز باستخدام ميزة المصادقة SSO الخاصة بفورتا كلاود.
باختصار، يمكن لمهاجم يمتلك حساب فورتا كلاود نشط وجهاز مسجل لدى فورتينت استخدام الثغرة لتسجيل الدخول إلى جهاز مستخدم آخر كما لو كان جهازه الخاص، طالما كانت ميزة SSO مفعلة على الجهاز.
من الجيد أن فورتينت أكدت أن ميزة تسجيل الدخول SSO في فورتا كلاود غير مفعلة بشكل افتراضي على الأجهزة. “ومع ذلك، عندما يقوم المسؤول بتسجيل الجهاز في فورتا كير من واجهة الجهاز، ما لم يقم المسؤول بإيقاف تشغيل مفتاح ‘السماح بتسجيل الدخول الإداري باستخدام فورتا كلاود SSO’ في صفحة التسجيل، يتم تفعيل تسجيل الدخول SSO بفورتا كلاود عند التسجيل،” كما جاء في التحذير.
لا يزال غير واضح عدد أجهزة فورتينت التي تم تفعيل ميزة SSO عليها. تواصلت Dark Reading مع فورتينت للتعليق، لكن الشركة لم ترد حتى وقت النشر.
مخاوف تجاوز تصحيح فورتينت تتحقق
تأتي الكشف عن CVE-2026-24858 بعد تقارير حديثة عن تسجيلات دخول خبيثة عبر SSO على أجهزة فورتينت، والتي تعكس نشاط تهديد مشابه في الشهر الماضي. في أوائل ديسمبر، كشفت فورتينت عن ثغرة مختلفة، تم تتبعها كـ CVE-2025-59718، والتي يستخدمها المهاجمون لتجاوز مصادقة تسجيل الدخول SSO بفورتا كلاود. تم استهداف الثغرة في وقت لاحق من ذلك الشهر، وأدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الثغرة في كتالوج الثغرات المعروفة المستغلة (KEV).
ومع ذلك، ظهرت تقارير غير مؤكدة من مستخدمين في مجتمع Reddit’s r/Fortinet الأسبوع الماضي تفيد بأن عمليات تسجيل الدخول الخبيثة استمرت، حتى على الأجهزة التي تم تصحيحها لـ CVE-2025-59718. في تقرير بتاريخ 21 يناير، ذكرت Arctic Wolf Labs أنها رصدت مهاجمين غير معروفين يصلون إلى جدران الحماية FortiGate عبر تسجيلات دخول SSO لإجراء تغييرات على إعدادات الأجهزة.
أدى ذلك إلى مخاوف من أن المهاجمين اكتشفوا طريقة لتجاوز تصحيح CVE-2025-59718. يوم الخميس الماضي، قال كبير مسؤولي الأمن المعلوماتي في فورتينت، كارل ويندسور، في منشور مدونة إن الشركة رصدت تسجيلات دخول خبيثة عبر SSO على الأجهزة التي تم تصحيحها، وأن فورتينت كانت تحقق في “مسار هجوم جديد” محتمل.
أكد الكشف عن CVE-2026-24858، الذي أضافته CISA أيضًا إلى كتالوج KEV يوم الثلاثاء، على تلك المخاوف جزئيًا. لم تصدر فورتينت تفاصيل تقنية للثغرة الجديدة في تجاوز المصادقة، لذا من غير الواضح ما إذا كان هناك أي ارتباط بين CVE-2026-24858 وCVE-2025-59718.
ومع ذلك، تم تحديث منشور ويندسور مؤخرًا للإشارة إلى أن فورتينت “أكدت أن هذه المشكلة تؤثر فقط على SSO بفورتا كلاود ولا تؤثر على تطبيقات SAML IdP أو FortiAuthenticator من جهات خارجية.” كما ذكر المنشور في البداية أنه بينما تم رصد نشاط تهديد فقط مع تسجيلات دخول SSO بفورتا كلاود، “تعتبر هذه المشكلة قابلة للتطبيق على جميع تطبيقات SSO باستخدام SAML.”
بغض النظر عن التفاصيل التقنية، تشكل CVE-2026-24858 خطرًا كبيرًا على المؤسسات. في منشور مدونة اليوم، ذكرت شركة SOCRadar المتخصصة في استخبارات التهديدات أن المهاجمين يمكنهم الوصول إلى الأجهزة الطرفية والحصول على صلاحيات إدارية. “نظرًا لأن FortiGate والأنظمة ذات الصلة غالبًا ما تكون في حافة الشبكات المؤسسية، فإن الوصول غير المصرح به كمسؤول يمكن أن يكشف عن تكوينات حساسة ويخلق مخاطر أمنية طويلة الأمد،” كما ذكرت SOCRadar.
التخفيف من استغلال CVE-2026-24858
أشار تحذير فورتينت إلى أن استغلال CVE-2026-24858 كان مرتبطًا بحسابين من فورتا كلاود، تم تعطيلهما من قبل الشركة في 22 يناير. لكن فورتينت اتخذت إجراءات أكثر حدة في 26 يناير لوقف عمليات تسجيل الدخول الخبيثة من خلال تعطيل ميزة SSO بفورتا كلاود مؤقتًا لجميع الحسابات والأجهزة.
أعادت فورتينت تفعيل الميزة في 27 يناير، لكنها لم تعد تدعم تسجيل الدخول من الأجهزة التي تعمل بإصدارات معرضة لـ CVE-2026-24858. “لذا فإن تعطيل تسجيل الدخول SSO بفورتا كلاود على جانب العميل ليس ضروريًا في الوقت الحالي،” كما جاء في التحذير.
حثت فورتينت العملاء على ترقية جميع الأجهزة التي تعمل بفورتيوس، فورتيمانجر، فورتا أناليزر، فورتا بروكسي، وفورتا ويب إلى الإصدارات المصححة. وفقًا للتحذير، تحقق الشركة فيما إذا كانت FortiSwitch Manager معرضة لـ CVE-2026-24858.
في تحذير عبر البريد الإلكتروني اليوم، قال الرئيس التنفيذي لمؤسسة Shadowserver، بيتر كيجوفسكي، إن عمليات المسح التي أجرتها المؤسسة كشفت عن حوالي 10,000 حالة فورتينت مكشوفة مع تفعيل SSO بفورتا كلاود. هذا الرقم هو انخفاض حاد من 25,000 حالة مكشوفة رصدتها Shadowserver في منتصف ديسمبر بعد استغلال CVE-2025-59718.
تظل فورتينت تحت الضغط لمواجهة هذه التهديدات المتزايدة، ويجب على المؤسسات اتخاذ خطوات فورية لحماية أنظمتها.
