فورتينت تؤكد: ثغرة خطيرة تتجاوز التحديثات الأمنية الأخيرة

بعد أيام من تقارير لمسؤولين تقنيين تفيد بتعرض جدران الحماية الخاصة بهم للاختراق رغم تحديثها بالكامل، أكدت شركة فورتينت (Fortinet) أنها تعمل حالياً على معالجة شاملة لثغرة خطيرة تتعلق بتجاوز المصادقة في خدمة FortiCloud SSO، وهي ثغرة كان يُفترض أن يتم إصلاحها منذ أوائل ديسمبر الماضي.

يأتي هذا التأكيد بعد موجة من البلاغات التي أفاد فيها عملاء فورتينت بأن جهات تهديد تستغل تجاوزاً للتحديث الأمني الخاص بالثغرة (CVE-2025-59718) لاختراق الأجهزة المحمية بالكامل.

هجمات آلية وسرقة للإعدادات

أوضحت شركة الأمن السيبراني Arctic Wolf أن الحملة الهجومية بدأت في 15 يناير، حيث يقوم المهاجمون بإنشاء حسابات ذات وصول عبر الشبكة الافتراضية الخاصة (VPN) وسرقة إعدادات جدار الحماية في غضون ثوانٍ، فيما يبدو أنها هجمات آلية. وأشارت الشركة إلى أن هذه الهجمات تشبه إلى حد كبير الحوادث التي تم توثيقها في ديسمبر عقب الكشف الأولي عن الثغرة.

وقد شارك العملاء المتأثرون سجلات تظهر أن المهاجمين قاموا بإنشاء مستخدمين إداريين (Admin Users) بعد تسجيل دخول عبر الـ SSO من البريد الإلكتروني cloud-init@mail.io وعنوان IP 104.28.244.114، وهي مؤشرات تتطابق مع ما رصدته Arctic Wolf وما أكدته فورتينت لاحقاً.

مقالات ذات صلة

الأمن السيبراني

Pwn2Own 2026: مليون دولار لاكتشاف ثغرات السيارات

منذ 38 دقيقة 2

الأمن السيبراني

اختراق Under Armour: تسريب بيانات 72 مليون مستخدم

منذ 4 ساعات 4

الأمن السيبراني

ميزة جديدة من 1Password تحميك من مواقع التصيد الاحتيالي

منذ 9 ساعات 10

الأمن السيبراني

بوت نت Kimwolf يهدد مليوني جهاز ويخترق شبكات حكومية

منذ 10 ساعات 7

الأمن السيبراني

أداة Ring Verify الجديدة: هل تكشف تزييف الفيديو حقاً؟

منذ 12 ساعة 12

الأمن السيبراني

تحديث 1Password الجديد: ميزة ذكية تحميك من التصيد الاحتيالي

منذ 12 ساعة 11

اعتراف رسمي وتحذير من مسار هجوم جديد

وفي تعليق رسمي، صرح كارل وندسور، رئيس أمن المعلومات (CISO) في فورتينت: "في الساعات الأربع والعشرين الماضية، حددنا عدداً من الحالات حيث تم استغلال الثغرة في أجهزة تمت ترقيتها بالكامل إلى أحدث إصدار وقت الهجوم، مما يشير إلى مسار هجوم جديد".

وأضاف وندسور أن فريق أمن المنتجات في الشركة حدد المشكلة ويعمل على إصلاح لمعالجة هذا الخلل، مشيراً إلى أنه سيتم إصدار نشرة أمنية بمجرد توفر تفاصيل الإصلاح والجدول الزمني. ونوه إلى أنه على الرغم من ملاحظة استغلال FortiCloud SSO فقط في الوقت الحالي، إلا أن هذه المشكلة قد تنطبق على جميع تطبيقات SAML SSO.

خطوات الحماية العاجلة

لحين إصدار فورتينت حلاً جذرياً لثغرة CVE-2025-59718، ينصح الخبراء باتباع الخطوات التالية فوراً:

• تقييد الوصول الإداري: تطبيق سياسة (local-in policy) تحدد عناوين IP المسموح لها بالوصول إلى الواجهات الإدارية للأجهزة.
• تعطيل FortiCloud SSO: يجب على المسؤولين إيقاف هذه الميزة عبر الانتقال إلى System -> Settings -> Switch وإلغاء تفعيل خيار "Allow administrative login using FortiCloud SSO".
• تدوير بيانات الاعتماد: في حال اكتشاف أي مؤشرات اختراق، يجب التعامل مع النظام على أنه مخترق، وتغيير جميع كلمات المرور (بما في ذلك حسابات LDAP/AD)، واستعادة الإعدادات من نسخة احتياطية نظيفة وموثوقة.

الجدير بالذكر أن منظمة Shadowserver تراقب حالياً ما يقرب من 11,000 جهاز فورتينت مكشوف عبر الإنترنت مع تفعيل ميزة FortiCloud SSO، كما أضافت وكالة الأمن السيبراني الأمريكية (CISA) هذه الثغرة إلى قائمة الثغرات المستغلة بنشاط منذ منتصف ديسمبر.