عادت أجهزة FortiGate إلى واجهة المشهد الأمني في أعقاب الكشف عن حملة اختراق واسعة اتخذت من هذه الأجهزة بوابة أولية للوصول إلى شبكات المؤسسات، حيث استهدف المهاجمون سحب بيانات اعتماد حسابات خدمية مرتبطة بخدمات Active Directory وبروتوكول LDAP، وهو بروتوكول قياسي للوصول إلى أدلة خدمات المعلومات وصيانتها عبر الشبكة.
يبرز هذا التطور معضلة تشغيلية وأمنية حساسة، إذ تحولت أداة الحماية المتمثلة في الجدار الناري إلى نقطة انطلاق تمنح المهاجم قدرة واسعة على التقدم داخل البيئة التقنية المستهدفة.
تفيد المعطيات المنشورة بتركيز المهاجمين على أجهزة FortiGate Next-Generation Firewall كمنصة دخول أولى، ثم انتقلوا إلى استخراج ملفات الإعدادات التي تحتوي على معلومات دقيقة عن بنية الشبكة وبيانات اعتماد الحسابات الخدمية المستخدمة للربط مع أنظمة الهوية والمصادقة.
شملت القطاعات الأبرز في هذا الاستهداف الرعاية الصحية، والجهات الحكومية، ومزودي الخدمات المدارة. وتظهر خطورة هذه الحملة في طبيعة المعلومات المسربة من ملف إعدادات الجدار الناري، حيث تكشف هذه الملفات خرائط الاتصال الداخلي، وآليات التقسيم الشبكي، وإعدادات الوصول، بالإضافة إلى بيانات اعتماد مرتبطة بخوادم الدليل؛ الأمر الذي يمنح المهاجمين قدرة عملية على توسيع نطاق الاختراق بعد تجاوز الطبقة الأمنية الأولى، ويهيئ الطريق للوصول إلى البنية الداخلية للمؤسسة أو تنفيذ هجمات ابتزاز وتعطيل لاحقة.
منهجية التدرج في الاختراق ودور ملفات الإعدادات كأدوات استخباراتية
تحولت ملفات إعدادات FortiGate في هذه الحملة إلى مفتاح عملي لفهم الشبكة وتوسيع الاختراق داخلياً، ووفقاً للوقائع المنشورة عن حالات مرتبطة بهذا النمط، بدأ الاختراق في نوفمبر 2025 عبر إنشاء حساب إداري محلي جديد باسم support على جهاز FortiGate. تلى ذلك إضافة سياسات جدار ناري سمحت بمرور حركة البيانات بين المناطق المختلفة دون قيود. ويشير التحليل الاستخباراتي لهذا السلوك إلى نمط متكرر لدى “وسطاء الوصول الأولي”، وهم جهات تعمل على تثبيت موطئ قدم داخل البيئة المستهدفة لبيعه لاحقاً إلى أطراف إجرامية أخرى.
رصدت الفرق الأمنية في فبراير 2026 مرحلة لاحقة شملت استخراج ملف الإعدادات المحتوي على بيانات اعتماد LDAP المشفرة، ويوضح هذا التسلسل منهجية التدرج بدءاً من السيطرة على الجهاز المحيطي وتعديل سياسات الحركة، وصولاً إلى جمع بيانات حساسة تُستثمر في الوصول إلى أنظمة الهوية.
لا يمثل هذا الملف مجرد نسخة تشغيلية من الإعدادات، بل يعد وثيقة حساسة تكشف التقسيم الشبكي والروابط الداخلية وقواعد الثقة ومسارات الوصول، وعند اقتران هذه المعطيات ببيانات اعتماد الحسابات الخدمية، يصبح التوسع داخل الشبكة أكثر سهولة، وتتراجع فعالية العزل الشبكي الذي تعتمد عليه المؤسسات لحماية الأنظمة الحرجة.
تقاطع ثغرات FortiCloud SSO مع نقاط الضعف التشغيلية
جاء هذا التطور ضمن سياق من الضغوط المتصاعدة على بيئة FortiGate منذ مطلع عام 2026، حيث أكدت شركة Fortinet في 22 يناير 2026 رصد نشاط دخول غير متوقع بدا في بدايته مشابهاً لحملة سابقة ارتبطت بثغرتي تجاوز مصادقة في خدمة FortiCloud SSO، وهما الثغرتان المصنفتان تحت الرموز CVE-2025-59718 وCVE-2025-59719.
أوضحت الشركة لاحقاً وجود حالات استغلال طالت أجهزة محدثة بالكامل، بوجود مسار استغلال جديد يرتبط بآلية FortiCloud SSO نفسها، وبناءً عليه عطلت الشركة حسابات FortiCloud المستخدمة في الهجوم في 23 يناير، ثم أوقفت خدمة FortiCloud SSO مؤقتاً في 26 يناير، وأعادتها في اليوم التالي بعد إدخال تغييرات تمنع الوصول من الأجهزة المعرضة للمشكلة، مع التأكيد على انحصار التأثير في هذه الخدمة دون الامتداد إلى موفري هوية SAML من الأطراف الثالثة أو تطبيق FortiAuthenticator.
تضمنت مؤشرات الاختراق تسجيل دخول ناجح عبر حسابات مثل [email protected] و[email protected]، وإنشاء حسابات إدارية محلية بأسماء مثل audit وbackup وsecadmin. وفي سياق متصل، وثقت تقارير أمنية في يناير 2026 هجمات مؤتمتة أنشأت حسابات غير مصرح بها وأصدرت ملفات إعدادات الجدار الناري خلال ثوانٍ معدودة.
وفي 20 فبراير 2026، كشفت Amazon Threat Intelligence عن حملة استهدفت أكثر من 600 جهاز في 55 دولة، وأكدت عدم رصد استغلال لثغرات برمجية في هذه الحملة بالتحديد، بل تحقق النجاح عبر منافذ إدارة مكشوفة على الإنترنت وكلمات مرور ضعيفة مع غياب المصادقة متعددة العوامل (MFA)، واستخدام أدوات ذكاء اصطناعي توليدي تجارية لأتمتة النشاط الهجومي.
يظهر هنا مساران متوازيان؛ الأول ارتبط بمشكلات تقنية في FortiCloud SSO، والثاني اعتمد على فجوات تشغيلية، وفي كليهما كانت النتيجة الوصول إلى ملفات إعدادات مهدت لاختراق أعمق.
أفادت Amazon Threat Intelligence بأن المهاجم في الحملة الواسعة كان ناطقاً بالروسية وذا دافع مالي، واستخدم خدمات ذكاء اصطناعي تجارية لتوسيع الهجوم بسرعة عالمية. أفضت هذه الهجمات إلى اختراقات في بيئات Active Directory واستخراج قواعد بيانات كاملة لبيانات الاعتماد واستهداف بنى النسخ الاحتياطي، وهو نمط يسبق عادةً نشر برمجيات الفدية.
