استغلال أجهزة FortiGate لاختراق الشبكات وسرقة بيانات الحسابات الخدمية » مركز الأمن السيبراني للأبحاث والدراسات CCRS

سلط باحثون في الأمن السيبراني الضوء على حملة جديدة يستغل فيها مهاجمون أجهزة FortiGate Next-Generation Firewall (NGFW) كنقاط دخول لاختراق الشبكات المستهدفة وسرقة بيانات الاعتماد الخاصة بالحسابات الخدمية.
بحسب تقرير صادر عن SentinelOne، فإن الحملة ركزت على بيئات مرتبطة بقطاعات الرعاية الصحية والحكومات ومزودي الخدمات المُدارة، مستغلة ثغرات أمنية حديثة أو كلمات مرور ضعيفة للوصول إلى ملفات التكوين واستخراج بيانات حساسة.

كيف يتم الاستغلال؟

أجهزة FortiGate تتمتع عادةً بصلاحيات واسعة داخل الشبكات التي تحميها، بما في ذلك الاتصال بالبنية التحتية للمصادقة مثل Active Directory (AD) وLDAP. هذه الصلاحيات تجعلها هدفاً مغرياً للمهاجمين، حيث يمكنهم عبرها الحصول على بيانات الحسابات الخدمية وربطها بالمستخدمين.
الهجمات الأخيرة استغلت ثغرات مثل CVE-2025-59718 وCVE-2025-59719 وCVE-2026-24858، إضافة إلى سوء التهيئة، للوصول إلى الأجهزة.

أمثلة على الهجمات

في نوفمبر 2025، تمكن المهاجمون من اختراق جهاز FortiGate وإنشاء حساب إداري جديد باسم “support”، ثم أضافوا أربع سياسات جدار ناري تسمح بالوصول غير المقيد عبر جميع المناطق. لاحقاً، تم استخراج ملف التكوين الذي يحتوي على بيانات اعتماد LDAP مشفرة، وتمكن المهاجمون من فك تشفيرها واستخدامها للوصول إلى بيئة الضحية وتسجيل أجهزة وهمية في AD.
في يناير 2026، انتقل المهاجمون بسرعة من الوصول إلى الجدار الناري إلى نشر أدوات وصول عن بُعد مثل Pulseway وMeshAgent، ثم قاموا بتنزيل برمجيات خبيثة من سحابة AWS عبر PowerShell. هذه البرمجية استُخدمت لاستخراج ملف NTDS.dit وسجل النظام SYSTEM hive وإرسالها إلى خادم خارجي عبر المنفذ 443.

دوافع المهاجمين

تشير الأدلة إلى أن بعض المهاجمين يعملون كوسطاء وصول أولي (Initial Access Brokers – IAB) يبيعون نقاط الدخول لمجرمين آخرين مقابل المال، بينما قد يستخدم آخرون هذه الاختراقات لأغراض التجسس أو لنشر برمجيات الفدية.
هذا التنوع في الدوافع يعكس القيمة العالية لأجهزة NGFW، التي تجمع بين قدرات المراقبة الشبكية وسياسات الأمان المتقدمة، لكنها في الوقت نفسه تصبح أهدافاً رئيسية لمهاجمين بمستويات مختلفة من الخبرة.