بوابات صامتة: أكثر من 25,000 جهاز Fortinet مكشوفة لثغرات حرجة في تجاوز المصادقة SSO

في وقت متأخر من إحدى ليالي ديسمبر، اكتشفت فرق استخبارات التهديدات في مؤسسة Shadowserver اكتشافًا مروعًا: أكثر من 25,000 جهاز Fortinet منتشرة حول العالم، مفتوحة على الإنترنت مع تفعيل ميزة تسجيل الدخول الموحد FortiCloud SSO. بالنسبة لمجرمي الإنترنت، هذا ليس مجرد رقم - بل هو منجم ذهب رقمي، يوفر مسارًا محتملاً لتجاوز المصادقة والوصول إلى قلب شبكات المؤسسات.

لسنوات، كانت Fortinet بمثابة حصن ضد التهديدات السيبرانية للمؤسسات حول العالم، حيث تدافع أجهزتها بهدوء عن الحدود والبيانات. لكن الاكتشافات الأخيرة من Shadowserver - وهي منظمة غير ربحية مرموقة في مجتمع استخبارات التهديدات السيبرانية - سلطت الضوء على نقطة ضعف جديدة خطيرة. من خلال دمج تقنيات التعرف المتقدمة في خدمة تحديد الأجهزة الخاصة بهم، رسمت Shadowserver خريطة لمشهد واسع من الأجهزة المعرضة للخطر: ما لا يقل عن 25,000 نقطة نهاية Fortinet مع تفعيل FortiCloud SSO ومكشوفة للإنترنت المفتوح.

رغم أن ليس كل جهاز مؤكد أنه معرض للخطر، إلا أن التهديد حقيقي وفوري. الثغرتان المعنيتان - CVE-2025-59718 وCVE-2025-59719 - تستهدفان جوهر إدارة الهوية. مع درجة خطورة تبلغ 9.1، تتيح هذه الثغرات للمهاجمين إنشاء رسائل SAML خبيثة، متجاوزين ضوابط SSO وربما الحصول على وصول إداري. في الأيدي الخطأ، يعني ذلك استيلاءً صامتًا: اختراق الشبكة، سرقة البيانات، ونشر البرمجيات الخبيثة، وكل ذلك دون الحاجة إلى بيانات اعتماد صالحة.

يحذر خبراء الأمن من الخطر. يُحث المؤسسات التي تتلقى إشعارات التعرض من Shadowserver على التحرك بسرعة - التحقق مما إذا كانت أنظمتهم من Fortinet مدرجة، وتأكيد حالة التصحيح، وتطبيق التحديثات فورًا. استجابت Fortinet بإصدار تحديثات أمنية لسد الثغرات، لكن التصحيح فعال فقط إذا كانت المؤسسات على علم بأنها مكشوفة. أما من لا يستطيع التحديث فورًا، فإن تعطيل ميزة FortiCloud SSO يوفر خط دفاع حرج، وإن كان مؤقتًا.

تقارير المسح المجانية من مؤسسة Shadowserver تعمل كنظام إنذار مبكر، لكنها متاحة فقط لمن يسجل. ومع تحرك المهاجمين بسرعة لاستغلال أسطح الهجوم المكتشفة حديثًا، فإن نافذة الدفاعيين ضيقة للغاية.

مع انقشاع الغبار عن هذا الحدث واسع النطاق، تبرز حقيقة واحدة: اليقظة الاستباقية لم تعد خيارًا. في عالم الأمن المؤسسي المترابط، قد يكون الاختراق الصامت التالي قد بدأ بالفعل - ما لم تستجب المؤسسات للتحذيرات، وتقوم بتحديث أنظمتها، وتغلق بواباتها الرقمية قبل أن يدخل المهاجمون.

ويكيكروك

• FortiCloud SSO: خدمة تسجيل الدخول الموحد السحابية من Fortinet، تتيح مصادقة موحدة وآمنة عبر جميع أجهزة وخدمات Fortinet من خلال تسجيل دخول واحد.
• تجاوز المصادقة: تجاوز المصادقة هو ثغرة تتيح للمهاجمين تخطي أو خداع عملية تسجيل الدخول، والحصول على وصول إلى الأنظمة دون بيانات اعتماد صالحة.
• SAML: SAML هو بروتوكول يتيح تبادلًا آمنًا لبيانات المصادقة والتفويض، وغالبًا ما يُستخدم لتسجيل الدخول الموحد (SSO) بين مزودي الهوية والخدمات.
• CVSS: CVSS (نظام تسجيل الثغرات الشائعة) هو معيار لتقييم خطورة الثغرات الأمنية، مع درجات من 0.0 إلى 10.0.
• الاستغلال عن بُعد: الاستغلال عن بُعد هو مهاجمة واختراق الأنظمة الحاسوبية من مسافة بعيدة، غالبًا عبر الإنترنت، من خلال استغلال ثغرات في البرمجيات أو الشبكة.