تحذير CISA: حملة “FortiBleed” تخترق 86,644 جهاز FortiGate حول العالم

أصدرت وكالة الأمن السيبراني والبنية التحتية الأميركية CISA تحذيرًا عاجلًا لعملاء شركة Fortinet بعد رصد حملة هجومية واسعة النطاق استهدفت أجهزة FortiGate المكشوفة على الإنترنت. الحملة التي أُطلق عليها اسم FortiBleed يُعتقد أنها من تنفيذ جهات تهديد ناطقة بالروسية، وقد أسفرت حتى 19 يونيو 2026 عن اختراق 86,644 جهازًا في مختلف أنحاء العالم.

بيانات اعتماد مخترقة وفشل في إدارة الحسابات

وفقًا لبيانات SOCRadar، شكّلت الحسابات الإدارية الافتراضية (35%) وحسابات النظام المدمجة في Fortinet (28.3%) النسبة الأكبر من بيانات الاعتماد المخترقة، بينما شكّلت الحسابات الخاصة بالمؤسسات نفسها 36.7%. هذا يكشف عن إخفاق واسع في إعادة تسمية الحسابات الافتراضية أو تدوير كلمات المرور المصنعية، مما منح المهاجمين قائمة أهداف موثوقة دون الحاجة إلى هجمات كسر القوة.
الأخطر أن الحسابات المؤسسية المخترقة تعني أن المهاجمين لم يكتفوا بالاعتماد الافتراضي، بل حصلوا أيضًا على بيانات اعتماد أنشأتها المؤسسات نفسها، ربما من تسريبات سابقة لم تُغيّر كلمات مرورها.

أسلوب الهجوم: أتمتة كاملة واستغلال كلمات مرور مسربة

المهاجمون قاموا بمسح شامل للإنترنت بحثًا عن نقاط دخول عن بُعد لأجهزة Fortinet، ثم استخدموا أداة مخصصة لرش هذه النقاط بمجموعات كلمات مرور معروفة.
الهجوم يعتمد على نهج من خطوتين:

  • تجربة قائمة كلمات مرور مسربة سابقًا ضد الأجهزة المكشوفة.
  • بمجرد الحصول على وصول، تتم مراقبة حركة المرور لجمع بيانات اعتماد إضافية، ثم استخدامها لاختراق المزيد من الأجهزة.
    هذه البيانات يتم التحقق من صحتها قبل إضافتها إلى قاعدة بيانات ضخمة من بيانات الدخول الفعالة، وهو ما وصفته شركة Hudson Rock بأنه “يمس تقريبًا كل قطاع في الاقتصاد العالمي”.
ثغرات في آليات تخزين كلمات المرور

المركز الوطني للأمن السيبراني في بريطانيا NCSC وصف FortiBleed بأنه حملة عالمية تستهدف جدران الحماية وبوابات VPN باستخدام هجمات القوة الغاشمة وهجمات القاموس وحقن بيانات الاعتماد.
ويُعتقد أن المهاجمين استغلوا آليات قديمة لتجزئة كلمات المرور في أجهزة FortiGate، حيث كانت تُخزن باستخدام SHA-256 مع Salt. ورغم أن Fortinet أضافت آلية PBKDF2 في إصدارات FortiOS الحديثة (7.2.11، 7.4.8، 7.6.1)، إلا أن كلمات المرور القديمة تظل مخزنة بالآلية السابقة حتى يقوم المسؤول بتسجيل الدخول بعد الترقية.

توصيات عاجلة من CISA

أوصت الوكالة المؤسسات المتأثرة باتباع إجراءات فورية:

  • إنهاء جميع جلسات VPN والإدارة النشطة وإعادة تعيين كلمات المرور.
  • فرض سياسات قوية لكلمات المرور وتفعيل المصادقة متعددة العوامل MFA.
  • التأكد من استخدام خوارزمية PBKDF2 لتخزين بيانات الاعتماد وحذف التجزئات القديمة.
  • مراجعة سجلات الجدار الناري وواجهات VPN والمصادقة لرصد أي تغييرات غير مصرح بها.
  • تقليص مساحة الهجوم وتشديد ضوابط الإدارة.
خلفية الاكتشاف

الحادثة كُشف عنها لأول مرة الأسبوع الماضي عندما اكتشف الباحث الأمني Volodymyr “Bob” Diachenko خادمًا يحتوي على قاعدة بيانات بيانات اعتماد فعالة لآلاف الجدران النارية وبوابات VPN في 194 دولة، إلى جانب أدوات وسيناريوهات الأتمتة الخاصة بالمهاجمين.
هذا الاكتشاف يسلط الضوء مجددًا على خطورة إعادة استخدام كلمات المرور وضعف ممارسات إدارة الحسابات، ويؤكد أن الأجهزة الطرفية للأمن لا تزال هدفًا مغريًا للحصول على وصول أولي إلى بيئات المؤسسات.

محمد وهبى
محمد وهبى
المقالات: 1231

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.