يستغل المتسللون ثغرات أمنية بالغة الخطورة تؤثر على العديد من منتجات Fortinet للحصول على وصول غير مصرح به إلى حسابات المسؤول وسرقة ملفات تكوين النظام.
يتم تتبع الثغرات الأمنية باسم CVE-2025-59718 وCVE-2025-59719، وقد حذرت Fortinet في رسالة”https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-forticloud-sso-login-auth-bypass-flaws/” الهدف=”_blank” rel=”nofollow noopener”> استشارية في 9 ديسمبر حول إمكانية الاستغلال.
CVE-2025-59718 عبارة عن تجاوز لمصادقة FortiCloud SSO يؤثر على FortiOS وFortiProxy وFortiSwitchManager. يحدث هذا بسبب التحقق غير الصحيح من التوقيعات المشفرة في رسائل SAML، مما يسمح للمهاجم بتسجيل الدخول دون مصادقة صالحة عن طريق إرسال تأكيد SAML ضار.
“https://www.bleepstatic.com/content/webinar-images/Action1-970×250-watch-now.jpg” البديل=”Wiz”>
CVE-2025-59719 عبارة عن تجاوز لمصادقة FortiCloud SSO يؤثر على FortiWeb. وينشأ هذا من مشكلة مشابهة تتعلق بالتحقق من صحة التوقيع المشفر لرسائل SAML، مما يتيح الوصول الإداري غير المصادق عبر تسجيل الدخول الموحّد (SSO) المزور.
لا يمكن استغلال كلتا المشكلتين إلا في حالة تمكين FortiCloud SSO، وهو ليس الإعداد الافتراضي. ومع ذلك، ما لم يتم تعطيل الميزة بشكل صريح، يتم تنشيطها تلقائيًا عند تسجيل الأجهزة من خلال واجهة مستخدم FortiCare.
استهداف حسابات المشرف
لاحظ الباحثون في شركة الأمن السيبراني Arctic Wolf هجمات تستغل الثغرات الأمنية بدءًا من 12 ديسمبر. وأشاروا إلى أن عمليات الاقتحام نشأت من عدة عناوين IP مرتبطة بشركة Constant Company وBL Networks وKaopu Cloud HK.
استنادًا إلى ملاحظات Arctic Wolf، استهدف المهاجمون حسابات المسؤولين باستخدام عمليات تسجيل الدخول الأحادي الضارة (SSO)، كما هو موضح في السجل أدناه:
المصدر: القطب الشمالي وولف
وبعد الحصول على حق الوصول على مستوى المسؤول، تمكن المتسللون من الوصول إلى واجهة إدارة الويب وقاموا بإجراءات مثل تنزيل ملفات تكوين النظام.
المصدر: القطب الشمالي وولف
يمكن أن تكشف ملفات التكوين تخطيطات الشبكة، وخدمات الإنترنت، وسياسات جدار الحماية، والواجهات التي يحتمل أن تكون عرضة للخطر، وجداول التوجيه، وكذلك كلمات المرور المجزأة التي قد يتم اختراقها إذا كانت ضعيفة.
ويشير تسرب هذه الملفات إلى أن النشاط ليس صادرًا عن باحثين يرسمون خرائط لنقاط النهاية الضعيفة، حيث إن الاستغلال جزء من عملية ضارة قد تدعم الهجمات المستقبلية.
صد الهجمات
يؤثر العيبان على إصدارات متعددة من منتجات Fortinet باستثناء FortiOS 6.4 وFortiWeb 7.0 وFortiWeb 7.2.
لمنع الهجمات، توصي Fortinet المسؤولين الذين ما زالوا يستخدمون إصدارًا ضعيفًا بتعطيل ميزة تسجيل الدخول إلى FortiCloud مؤقتًا حتى يصبح من الممكن الترقية إلى إصدار أكثر أمانًا.
يمكن القيام بذلك من النظام ← الإعدادات ← “السماح بتسجيل الدخول الإداري باستخدام FortiCloud SSO”=إيقاف.
يوصى مسؤولي النظام بالانتقال إلى أحد الإصدارات التالية التي تعالج كلا الثغرات الأمنية:
- FortiOS 7.6.4+، 7.4.9+، 7.2.12+، و7.0.18+
- فورتي بروكسي 7.6.4+، 7.4.11+، 7.2.15+، 7.0.22+
- FortiSwitchManager 7.2.7+، 7.0.6+
- فورتي ويب 8.0.1+، 7.6.5+، 7.4.10+
إذا تم اكتشاف أي علامات اختراق، فمن المستحسن تدوير بيانات اعتماد جدار الحماية في أقرب وقت ممكن. توصي Arctic Wolf أيضًا بقصر الوصول إلى إدارة جدار الحماية/VPN على الشبكات الداخلية الموثوقة فقط.
قم بتفكيك صوامع IAM مثل Bitpanda وKnowBe4 وPathAI
إن تعطل IAM لا يمثل مجرد مشكلة تتعلق بتكنولوجيا المعلومات – بل يمتد التأثير عبر عملك بالكامل.
يغطي هذا الدليل العملي سبب فشل ممارسات IAM التقليدية في مواكبة المتطلبات الحديثة، وأمثلة على ذلك “good” تبدو IAM وكأنها قائمة مرجعية بسيطة لبناء استراتيجية قابلة للتطوير.