Netcrook Logo
👤 KERNELWATCHER
🗓️ 23 Jan 2026   🌍 North America

فوضى الجدار الناري: ثغرة «مُرقَّعة» لدى Fortinet تترك آلاف الأنظمة مكشوفة

العنوان الفرعي: رغم الإصلاحات السابقة، يستغل المهاجمون خللًا حرجًا في جدران Fortinet النارية، ما يفاجئ المؤسسات.

في وقت متأخر من إحدى الليالي، حدّق مسؤولو الأنظمة حول العالم غير مصدّقين وهم يرون جدران Fortinet النارية التي حدّثوها للتو تقع فريسة لهجمات سيبرانية لا تهدأ. التحديث الذي وثقوا به اتضح أنه لم يكن كافيًا. ثغرة حرجة لتجاوز المصادقة، كان يُعتقد أنها احتُويت في ديسمبر الماضي، أفلتت من بين الشقوق - لتترك حتى أكثر المدافعين يقظة مكشوفين.

بدأت أحدث موجة من الاختراقات في منتصف يناير، عندما أبلغ عملاء Fortinet عن ظهور حسابات مسؤول غامضة على جدرانهم النارية التي يُفترض أنها آمنة. وكشف التحليل الجنائي حقيقة مقلقة: كان المهاجمون يستغلون تجاوزًا للتصحيح الخاص بـ CVE-2025-59718، وهي ثغرة كُشف عنها لأول مرة في ديسمبر وكان يُفترض أنها أُصلحت. لكن في الواقع، كان مجرمو الإنترنت قد اكتشفوا مسار هجوم جديدًا - مسارًا لم يتمكن حتى أحدث إصدار من البرمجيات الثابتة من حجبه.

وتتبعت شركة الأمن Arctic Wolf الحملة أثناء تطورها، مشيرة إلى سرعة المهاجمين وتعقيدهم. وخلال ثوانٍ من الحصول على الوصول، أنشؤوا حسابات مفعّلة عبر VPN وقاموا بتهريب إعدادات الجدار الناري. وحملت الهجمات تشابهًا مخيفًا مع حوادث وقعت قبل شهر، ما يوحي بجهة تهديد مستمرة ومنظمة جيدًا - لا تردعها تحديثات البرمجيات.

وأكدت سجلات Fortinet نفسها الأسوأ: بعد تسجيل الدخول عبر cloud-init@mail.io من عنوان IP مريب، رفع المهاجمون صلاحياتهم وأحكموا السيطرة. وأقرّ رئيس أمن المعلومات في الشركة، كارل وندسور، بخطورة الوضع قائلًا: «لقد حددنا المشكلة ونعمل على إصلاحها». وحتى ذلك الحين، تُترك المؤسسات لتدافع عن نفسها، مع تعليمات عاجلة بتقييد الوصول الإداري وتعطيل FortiCloud SSO بالكامل.

والانكشاف واسع النطاق. فبحسب مؤسسة Shadowserver، يظهر على الإنترنت العام ما يقرب من 11,000 جهاز Fortinet مفعّل عليه FortiCloud SSO - أهدافًا سهلة للمهاجمين. ولم تُضِع وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) وقتًا، فألزمت بتطبيق تصحيح على الأنظمة الفيدرالية خلال أسبوع من الإفصاح الأولي عن الخلل. غير أنه مع انكشاف أن «الإصلاح» غير مكتمل، بدأ سباق احتواء التداعيات.

أما من تعرضوا للاختراق بالفعل، فالنصيحة حاسمة: اعتبروا أن أنظمتكم قد اختُرقت، وبدّلوا جميع بيانات الاعتماد، واستعيدوا الإعدادات من نسخة احتياطية معروفة النظافة. وقد وعدت Fortinet بإصدار إرشاد شامل عندما يصبح الإصلاح الحقيقي جاهزًا، لكن الضرر قد يكون وقع بالفعل لدى البعض.

وبينما تسارع المؤسسات لتأمين شبكاتها، تُعدّ قصة Fortinet تذكيرًا صارخًا: الترقيع ليس علاجًا سحريًا. ففي عالم الأمن السيبراني عالي المخاطر، تبقى اليقظة - وقسط صحي من الشك - هما اليقينان الوحيدان.

WIKICROOK

  • تجاوز المصادقة: تجاوز المصادقة هو ثغرة تتيح للمهاجمين تخطي عملية تسجيل الدخول أو خداعها، والحصول على وصول إلى الأنظمة دون بيانات اعتماد صالحة.
  • SSO (تسجيل دخول: يتيح تسجيل الدخول الأحادي (SSO) للمستخدمين الوصول إلى عدة تطبيقات عبر تسجيل دخول واحد، ما يبسّط الوصول ويعزز الأمان عبر مركزية المصادقة.
  • SAML (لغة ترميز تأكيدات الأمان): SAML معيار يتيح تسجيل دخول أحاديًا آمنًا عبر السماح بمشاركة معلومات الهوية بأمان بين أنظمة أو تطبيقات مختلفة.
  • مؤشرات الاختراق (IOCs): مؤشرات الاختراق (IoCs) هي دلائل مثل أسماء الملفات أو عناوين IP أو شذرات من الشيفرة تساعد على اكتشاف ما إذا كان نظام حاسوبي قد تعرض للاختراق.
  • تجاوز التصحيح: عندما يجد المهاجمون طريقة للالتفاف على إصلاح أمني، ما يجعل ثغرة يُفترض أنها حُلّت خطرة من جديد.
Fortinet Cybersecurity Vulnerability
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news