رصد خبراء الأمن السيبراني نشاطاً خبيثاً جديداً يستهدف أجهزة فورتينت فورتي جيت، حيث يقوم المهاجمون بتعديل إعدادات الجدار الناري بشكل آلي وغير مصرح به، مما يشكل خطراً كبيراً على أمن الشبكات.
وقد حذرت شركة Arctic Wolf المتخصصة في الأمن السيبراني من هذه المجموعة الجديدة من الأنشطة الضارة المؤتمتة، والتي بدأت نشاطها المكثف في 15 يناير 2026. وتتشابه هذه الحملة مع هجمات سابقة تم رصدها في ديسمبر 2025.
ما هي تفاصيل ثغرة فورتينت فورتي جيت الجديدة؟
تعتمد الهجمات الجديدة على استغلال ثغرات أمنية حرجة في نظام الدخول الموحد (SSO) الخاص بخدمة FortiCloud. وأوضح تقرير نشره موقع تيكبامين أن المهاجمين يستغلون الثغرتين التاليتين:
- CVE-2025-59718: ثغرة تجاوز المصادقة.
- CVE-2025-59719: ثغرة تسمح بتنفيذ إجراءات غير مصرح بها.
تسمح هذه الثغرات للمهاجمين بتجاوز مصادقة تسجيل الدخول عبر رسائل SAML مفبركة عندما تكون ميزة الدخول الموحد (SSO) مفعلة على الأجهزة المتضررة. وتشمل قائمة الأنظمة المتأثرة ما يلي:
- نظام FortiOS
- نظام FortiWeb
- نظام FortiProxy
- مدير الشبكات FortiSwitchManager
كيف يعمل الهجوم السيبراني؟
وفقاً للتحليلات الأمنية، تتضمن هذه الأنشطة إنشاء حسابات عامة بهدف الحفاظ على استمرار الوصول للنظام (Persistence)، وإجراء تغييرات في الإعدادات لمنح صلاحيات VPN لهذه الحسابات، بالإضافة إلى سرقة ملفات تكوين الجدار الناري.
تتم العملية من خلال تنفيذ عمليات تسجيل دخول خبيثة باستخدام حساب ضار يحمل اسم "cloud-init @mail.io"، ويتم ذلك من عناوين IP متعددة، ليتم بعدها تصدير ملفات إعدادات الجدار الناري عبر واجهة المستخدم الرسومية.
الحسابات الوهمية التي ينشئها المهاجمون
لضمان بقائهم داخل النظام، لوحظ أن قراصنة الإنترنت يقومون بإنشاء حسابات ثانوية بأسماء تبدو شرعية لخداع مديري الأنظمة، ومن أبرز هذه الأسماء:
- secadmin
- itadmin
- support
- backup
- remoteadmin
- audit
وأشار التقرير إلى أن جميع هذه الأحداث تقع في غضون ثوانٍ معدودة، مما يؤكد أن الهجمات تتم بشكل آلي تماماً باستخدام برمجيات متطورة.
كيف تحمي أجهزتك من هذا الاختراق؟
تزامن هذا الكشف مع تقارير من مستخدمين أكدوا رصد عمليات تسجيل دخول مشبوهة حتى على أجهزة فورتiOS التي تم تحديثها بالكامل. ولحماية شبكتك، يوصي خبراء تيكبامين باتخاذ إجراءات فورية.
الخطوة الأهم حالياً هي تعطيل إعداد "admin-forticloud-sso-login" فوراً لمنع استغلال هذه الثغرة، ومراجعة سجلات الدخول للبحث عن أي من الحسابات المذكورة أعلاه وحذفها إن وجدت.
