اختراق حصن Fortinet السحابي: أكثر من 25,000 جهاز مكشوف أمام القراصنة العالميين
العنوان الفرعي: خلل خطير في مصادقة FortiCloud يترك عشرات الآلاف من أجهزة الأمان عرضة للاستيلاء عن بُعد، مما يدفع إلى تحذيرات عاجلة وتدخل حكومي.
إنه كابوس لمسؤولي تكنولوجيا المعلومات: الأجهزة المصممة لحماية شبكاتهم من الهجمات الإلكترونية أصبحت هي نفسها هدفًا للهجوم. في جميع أنحاء العالم، أصبح أكثر من 25,000 جهاز أمان من Fortinet مع تفعيل تسجيل الدخول الموحد السحابي (SSO) مكشوفًا الآن لهجمات عن بُعد - بفضل ثغرة تم اكتشافها حديثًا تتيح للقراصنة الدخول مباشرة عبر الباب الأمامي الرقمي.
دقت أجراس الإنذار في 9 ديسمبر، عندما أصدرت Fortinet بهدوء تحديثات لثغرة تجاوز مصادقة حرجة في ميزة تسجيل الدخول الموحد FortiCloud SSO - وهي مشكلة تم تتبعها تحت CVE-2025-59718 وCVE-2025-59719. لكن بحلول ذلك الوقت، كان المهاجمون قد بدأوا بالفعل في البحث عن أهداف. خلال أيام، كان باحثو الأمن السيبراني وجهات مراقبة الإنترنت مثل Shadowserver وMacnica يحصون عشرات الآلاف من أجهزة Fortinet مع SSO مكشوفة للإنترنت العام، العديد منها لم يتم تحديثه ولا يزال مفتوحًا للاستغلال.
الثغرة خطيرة وبسيطة في آن واحد: من خلال إنشاء رسالة SAML خبيثة - وهو البروتوكول الذي يقف خلف تسجيل الدخول الموحد - يمكن للقراصنة خداع الجهاز لمنحهم صلاحيات المدير. من هناك، يمكنهم تنزيل ملفات الإعدادات المليئة بالبيانات الحساسة: كلمات مرور مجزأة (يمكن كسرها خارج الشبكة)، خرائط الشبكة، قواعد الجدار الناري، وخريطة طريق لمزيد من الاختراق.
قال الباحث الأمني يوتاكا سيجياما: "بالنظر إلى مدى تكرار استغلال ثغرات واجهة إدارة FortiOS في الماضي، من المفاجئ أن هذا العدد الكبير من واجهات الإدارة لا يزال متاحًا للعامة"، معبرًا عن شعور بالإحباط وعدم التصديق في مجتمع الأمن السيبراني.
من الناحية الجغرافية، التعرض عالمي: أكثر من 5,400 جهاز في الولايات المتحدة، ما يقرب من 2,000 في الهند، وآلاف أخرى منتشرة حول العالم. استجابت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) بسرعة، وألزمت جميع الوكالات الفيدرالية بتحديث الأجهزة قبل 23 ديسمبر - مما يبرز إمكانية وقوع هجمات إلكترونية منسقة على نطاق واسع.
سجل Fortinet مع الثغرات متباين. في السنوات الأخيرة، استهدفت أجهزتهم مرارًا من قبل مجموعات التجسس الإلكتروني، وعصابات الفدية، وقراصنة ترعاهم دول. ومن الجدير بالذكر أن مجموعة Volt Typhoon الصينية استغلت ثغرات سابقة في Fortinet لاختراق شبكة عسكرية هولندية في وقت سابق من هذا العام، مستخدمة برمجيات خبيثة مخصصة لترسيخ وجود دائم.
مع انقشاع الغبار، لا يزال عدد الأجهزة المؤمنة فعليًا غير معروف. الدرس واضح: عندما تصبح أجهزة الأمان نفسها الحلقة الأضعف، قد يكون التهاون كارثيًا. يجب على المسؤولين حول العالم التحرك - قبل أن يفعل المهاجمون ذلك.
ويكيكروك
- تسجيل الدخول الموحد: يتيح تسجيل الدخول الموحد (SSO) للمستخدمين الوصول إلى خدمات متعددة عبر تسجيل دخول واحد، مما يبسط الوصول لكنه يزيد المخاطر إذا تم اختراق بيانات الدخول.
- تجاوز المصادقة: تجاوز المصادقة هو ثغرة تتيح للمهاجمين تخطي أو خداع عملية تسجيل الدخول، والحصول على وصول إلى الأنظمة دون بيانات اعتماد صحيحة.
- SAML: SAML هو بروتوكول يتيح تبادل بيانات المصادقة والتفويض بشكل آمن، وغالبًا ما يُستخدم لتسجيل الدخول الموحد (SSO) بين مزودي الهوية والخدمات.
- كلمة مرور مجزأة: كلمة المرور المجزأة هي كلمة مرور تم تحويلها إلى رمز مشفر باستخدام دالة تجزئة، مما يجعلها غير قابلة للقراءة وآمنة من الوصول غير المصرح به.
- ثغرة اليوم صفر: ثغرة اليوم صفر هي خلل أمني خفي غير معروف لمطور البرنامج، ولا يوجد له إصلاح متاح، مما يجعله ذا قيمة وخطورة عالية للمهاجمين.
