أفادت تقارير أمنية حديثة بأن جهات تهديد بدأت بالفعل في استغلال ثغرتين خطيرتين في أجهزة Fortinet FortiGate بعد أقل من أسبوع على الإعلان عنهما. وبحسب شركة Arctic Wolf، فقد رُصدت عمليات تسجيل دخول خبيثة عبر ميزة تسجيل الدخول الأحادي SSO في 12 ديسمبر 2025، مستغلة ثغرتين تحملان الرمزين CVE‑2025‑59718 وCVE‑2025‑59719، وكلتاهما بدرجة خطورة 9.8.
وأصدرت Fortinet تحديثات عاجلة لمعالجة الثغرتين في منتجات FortiOS وFortiWeb وFortiProxy وFortiSwitchManager، إلا أن الهجمات بدأت قبل أن تتمكن العديد من المؤسسات من تطبيق الإصلاحات.
كيف يحدث الاختراق عبر رسائل SAML المزوّرة؟
تشير التحليلات إلى أن الثغرتين تسمحان بتجاوز كامل لآلية المصادقة في تسجيل الدخول الأحادي، وذلك عبر رسائل SAML مصممة خصيصاً، شرط أن تكون ميزة FortiCloud SSO مفعّلة على الجهاز المستهدف.
ورغم أن الميزة معطلة افتراضياً، إلا أنها تُفعّل تلقائياً عند تسجيل الجهاز في FortiCare، ما لم يقم المسؤولون بإيقاف خيار “السماح بتسجيل الدخول الإداري باستخدام FortiCloud SSO”.
هجمات تستهدف حساب “admin” وتسرّب إعدادات الأجهزة
رصدت Arctic Wolf استخدام عناوين IP تابعة لعدد محدود من مزودي الاستضافة، مثل The Constant Company وBL Networks وKaopu Cloud، لتنفيذ تسجيلات دخول خبيثة تستهدف حساب admin مباشرة.
وبعد نجاح تسجيل الدخول، قام المهاجمون بتصدير ملفات إعدادات الأجهزة عبر الواجهة الرسومية GUI وإرسالها إلى نفس عناوين IP، ما يتيح لهم الوصول إلى معلومات حساسة حول البنية الشبكية.
توصيات عاجلة للمؤسسات… وتعامل مع الحادث باعتباره اختراقاً كاملاً
في ظل استمرار الهجمات، توصي الجهات الأمنية المؤسسات بما يلي:
- تطبيق التحديثات فوراً على جميع الأجهزة المتأثرة.
- تعطيل FortiCloud SSO حتى بعد التحديث لضمان عدم استغلال الثغرة.
- تقييد الوصول إلى واجهات الإدارة بحيث يقتصر على مستخدمين داخليين موثوقين.
وتحذر Arctic Wolf من أن كلمات المرور المخزنة في إعدادات الأجهزة—even إذا كانت مُشفرة—يمكن للمهاجمين كسرها لاحقاً إذا كانت ضعيفة. لذلك، يُنصح العملاء الذين يكتشفون مؤشرات اختراق بإعادة تعيين جميع بيانات الاعتماد فوراً.
