أكدت شركة فورتينت رسمياً وجود نشاط استغلال جديد يستهدف تجاوز مصادقة الدخول الموحد (SSO) في أجهزة جدار الحماية FortiGate، حتى تلك التي تلقت التحديثات الأمنية الكاملة مؤخراً.
ويشكل هذا الإعلان تحذيراً خطيراً لمسؤولي أمن الشبكات، حيث أوضح تقرير تيكبامين أن الثغرة تسمح للمهاجمين بتجاوز الإصلاحات السابقة والوصول إلى لوحات التحكم بصلاحيات المسؤول.
ما هي تفاصيل ثغرة فورتينت الجديدة؟
صرح كارل وندسور، رئيس أمن المعلومات في فورتينت، بأن الشركة رصدت عدداً من الحالات التي تم فيها استغلال الأجهزة رغم ترقيتها للإصدار الأخير وقت الهجوم. هذا يشير بوضوح إلى وجود مسار هجوم جديد لم يكن معروفاً سابقاً.
تتعلق هذه الأنشطة بمحاولات للالتفاف على التصحيحات التي أصدرتها الشركة لمعالجة الثغرات المعروفة بالرموز التالية:
- الثغرة الأمنية CVE-2025-59718
- الثغرة الأمنية CVE-2025-59719
تسمح هذه الثغرات في الأصل للمهاجمين غير المصادق عليهم بتجاوز نظام تسجيل الدخول الموحد عبر رسائل SAML معدلة، وذلك في حال تفعيل ميزة FortiCloud SSO على الأجهزة المتضررة.
كيف يتم استغلال تجاوز تسجيل الدخول؟
ظهرت تقارير هذا الأسبوع تؤكد عودة النشاط الخبيث، حيث تم تسجيل عمليات دخول غير مصرح بها إلى حسابات المسؤول (Admin) على أجهزة FortiGate المحمية. يتشابه هذا النمط مع حوادث سابقة رصدت في ديسمبر الماضي.
يقوم المهاجمون بإنشاء حسابات عامة لضمان استمرارية الوصول (Persistence)، ثم يقومون بتغيير الإعدادات لمنح هذه الحسابات صلاحيات VPN، مما يسهل عليهم سرقة تكوينات جدار الحماية وإرسالها إلى عناوين IP خارجية.
الحسابات المشبوهة التي يجب مراقبتها
وفقاً للتحليلات الأمنية، تم رصد المهاجمين يستخدمون حسابات بأسماء محددة للتمويه، ويجب على المدراء البحث عنها في سجلاتهم:
- حساب باسم: cloud-noc @mail.io
- حساب باسم: cloud-init @mail.io
إجراءات الحماية وتخفيف المخاطر
تحث الشركة المستخدمين ومسؤولي الأنظمة على اتخاذ خطوات فورية لتأمين بيئاتهم الرقمية. وعلى الرغم من أن الاستغلال الحالي يركز على FortiCloud SSO، إلا أن المشكلة قد تكون قابلة للتطبيق على جميع تطبيقات SAML SSO.
لضمان سلامة الشبكة، يوصى باتباع الخطوات التالية:
- مراجعة سجلات النظام بحثاً عن أي عمليات دخول غير مألوفة.
- التحقق من قائمة المستخدمين وحذف أي حسابات مسؤول غير معروفة فوراً.
- تعطيل ميزة FortiCloud SSO مؤقتاً إذا لم تكن ضرورية للعمل.
- متابعة التحديثات الأمنية الجديدة من الشركة المصنعة وتطبيقها فور صدورها.
