أعلنت شركة Fortinet رسمياً أنها تعمل على معالجة ثغرة تجاوز مصادقة الدخول الأحادي (SSO) في ميزة FortiCloud، وذلك بعد رصد نشاط استغلال جديد استهدف أجهزة FortiGate رغم تحديثها بالكامل إلى آخر إصدار.
كارل ويندسور، مدير أمن المعلومات في الشركة، أوضح أن الهجمات الأخيرة تشير إلى “مسار جديد للاستغلال”، حيث تم تسجيل محاولات دخول غير مصرح بها على حسابات إدارية في الأجهزة المحدثة، ما يعكس خطورة الثغرة.
خلفية الثغرة: CVE-2025-59718 وCVE-2025-59719
الثغرة ترتبط بعيوب أمنية سبق أن عالجتها الشركة الشهر الماضي، والمعروفة بالرمزين CVE-2025-59718 وCVE-2025-59719. هذه الثغرات تسمح بتجاوز غير مصرح به لعملية تسجيل الدخول عبر رسائل SAML مصممة خصيصاً، إذا كانت ميزة FortiCloud SSO مفعلة على الأجهزة المتأثرة. ورغم إصدار التحديثات، ظهرت تقارير عن نشاط جديد مشابه للهجمات التي وقعت في ديسمبر الماضي عقب الكشف عن الثغرتين.
أسلوب الاستغلال: حسابات عامة وتغيير الإعدادات
المهاجمون أنشأوا حسابات عامة مثل “cloud-noc@mail.io” و”cloud-init@mail.io” للحفاظ على وجود دائم داخل الأنظمة. كما قاموا بتغيير إعدادات التكوين لمنح هذه الحسابات صلاحيات وصول عبر الشبكات الافتراضية الخاصة (VPN)، إضافة إلى استخراج ملفات إعدادات الجدار الناري وتحويلها إلى عناوين IP خارجية. هذه الخطوات تعكس محاولة المهاجمين ترسيخ وجود طويل الأمد داخل البنية التحتية المستهدفة.
إجراءات التخفيف الموصى بها
أوصت Fortinet المؤسسات المتأثرة باتخاذ إجراءات عاجلة، أبرزها:
- تقييد الوصول الإداري إلى أجهزة الشبكة الطرفية عبر الإنترنت باستخدام سياسة local-in.
- تعطيل تسجيل الدخول عبر FortiCloud SSO من خلال إيقاف خيار admin-forticloud-sso-login.
وأكدت الشركة أن الاستغلال الحالي يقتصر على ميزة FortiCloud SSO، لكنه قد ينطبق على جميع تطبيقات الدخول الأحادي المبنية على بروتوكول SAML، ما يستدعي الحذر الشديد من المؤسسات التي تعتمد هذه الآلية.
