أصدرت شركة الأمن السيبراني Arctic Wolf تحذيراً بشأن ظهور “مجموعة جديدة من الأنشطة الخبيثة الآلية” تستهدف أجهزة Fortinet FortiGate عبر استغلال ميزة تسجيل الدخول الموحد FortiCloud SSO، ما أدى إلى تغييرات غير مصرح بها في إعدادات جدران الحماية.
تفاصيل الهجمات والارتباط بثغرات سابقة
بدأت هذه الأنشطة في 15 يناير 2026، وتشابهت مع حملة سابقة في ديسمبر 2025 حيث تم تسجيل محاولات دخول خبيثة على حسابات الإدارة في أجهزة FortiGate من مزودين مختلفين، وذلك عبر استغلال ثغرتين خطيرتين هما CVE-2025-59718 وCVE-2025-59719.
تسمح هذه الثغرات للمهاجمين بتجاوز المصادقة الخاصة بتسجيل الدخول الموحد (SSO) دون الحاجة إلى بيانات اعتماد صحيحة، وذلك باستخدام رسائل SAML مصممة خصيصاً. وتشمل المنتجات المتأثرة: FortiOS، FortiWeb، FortiProxy، FortiSwitchManager.
أساليب المهاجمين وآليات الاستغلال
أوضحت Arctic Wolf أن الهجمات تضمنت إنشاء حسابات عامة بهدف الاستمرارية، وإجراء تغييرات تمنح تلك الحسابات صلاحيات وصول عبر الشبكات الافتراضية الخاصة (VPN)، إضافة إلى تسريب ملفات إعدادات جدران الحماية.
وقد تم رصد عمليات تسجيل دخول خبيثة باستخدام الحساب “cloud-init@mail.io” من أربعة عناوين IP مختلفة، تلاها تصدير ملفات الإعدادات إلى نفس العناوين عبر واجهة الإدارة الرسومية (GUI).
كما أن المهاجمين أنشأوا حسابات ثانوية مثل: secadmin، itadmin، support، backup، remoteadmin، audit، لتعزيز وجودهم وضمان استمرار السيطرة على الأجهزة.
مؤشرات على نشاط آلي واسع النطاق
جميع هذه الأحداث وقعت في غضون ثوانٍ معدودة، وهو ما يشير إلى أن الهجمات تمت عبر أدوات آلية متقدمة، وليس عبر تدخل يدوي تقليدي. هذا النمط يعكس تطوراً في أساليب المهاجمين الذين يسعون إلى استغلال الثغرات بسرعة قبل أن يتمكن المستخدمون من تطبيق التحديثات الأمنية.
ردود الفعل والمخاوف الأمنية
تزامن الكشف مع تقارير على منصة Reddit من مستخدمين أكدوا رصد محاولات تسجيل دخول خبيثة على أجهزة FortiOS رغم أنها كانت محدثة بالكامل. وأشار أحد المستخدمين إلى أن فريق تطوير Fortinet أكد استمرار وجود الثغرة أو عدم إصلاحها في الإصدار 7.4.10.
حتى الآن لم تصدر Fortinet تعليقاً رسمياً، بينما نصحت Arctic Wolf بتعطيل خيار admin-forticloud-sso-login كإجراء مؤقت لتقليل المخاطر.
