أعلنت شركة Fortinet عن إصدار تحديثات أمنية لمعالجة ثغرة حرجة في نظام FortiOS، تم رصد استغلالها بشكل نشط في بيئات حقيقية. الثغرة، التي تحمل المعرف CVE-2026-24858 وتقييم خطورة 9.4 وفق مقياس CVSS، تتعلق بميزة تسجيل الدخول الموحد (SSO) في FortiOS، وتمتد آثارها أيضاً إلى منتجات FortiManager و FortiAnalyzer، فيما تواصل الشركة التحقيق لمعرفة ما إذا كانت منتجات أخرى مثل FortiWeb و FortiSwitch Manager متأثرة.
تفاصيل الثغرة وآلية الاستغلال
وفقاً لتحذير Fortinet، فإن الثغرة تتيح للمهاجم الذي يمتلك حساباً على FortiCloud وجهازاً مسجلاً، تسجيل الدخول إلى أجهزة أخرى مرتبطة بحسابات مختلفة، إذا كانت ميزة SSO مفعلة. اللافت أن هذه الميزة لا تكون مفعلة بشكل افتراضي، وإنما يتم تشغيلها عند تسجيل الجهاز في خدمة FortiCare عبر واجهة المستخدم الرسومية، أو عند تفعيل خيار “السماح بتسجيل الدخول الإداري باستخدام FortiCloud SSO”.
خلال الأيام الماضية، أكدت الشركة أن مهاجمين مجهولين استغلوا مساراً جديداً للهجوم لتحقيق تسجيل دخول عبر SSO دون الحاجة إلى مصادقة، مما سمح لهم بإنشاء حسابات إدارية محلية، وتغيير إعدادات تمنح وصول VPN، إضافة إلى سرقة ملفات إعدادات الجدار الناري.
إجراءات Fortinet لمواجهة الهجوم
على مدار الأسبوع، اتخذت الشركة عدة خطوات:
- إغلاق حسابين خبيثين على FortiCloud في 22 يناير 2026.
- تعطيل ميزة FortiCloud SSO على جانب الخدمة في 26 يناير.
- إعادة تفعيل الميزة في 27 يناير، مع تعطيل خيار تسجيل الدخول من الأجهزة التي تعمل بإصدارات معرضة للثغرة.
وبذلك أصبح على العملاء الترقية إلى أحدث إصدار من البرمجيات ليتمكنوا من استخدام ميزة SSO بشكل آمن.
توصيات عاجلة للمستخدمين
دعت Fortinet المؤسسات التي تكتشف مؤشرات اختراق إلى التعامل مع أجهزتها باعتبارها مخترقة، ونصحت بالخطوات التالية:
- التأكد من تشغيل أحدث إصدار من البرمجيات.
- استعادة الإعدادات من نسخة نظيفة أو مراجعة أي تغييرات غير مصرح بها.
- تغيير كلمات المرور، بما في ذلك حسابات LDAP/AD المرتبطة بأجهزة FortiGate.
تحرك رسمي من CISA
أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) الثغرة إلى قائمة الثغرات المستغلة المعروفة (KEV) وألزمت الوكالات الفيدرالية المدنية التنفيذية (FCEB) بمعالجة المشكلة قبل 30 يناير 2026، ما يعكس خطورة الثغرة وضرورة التحرك السريع لتأمين الأنظمة.
