أكدت شركة Arctic Wolf المتخصصة في الأمن السيبراني وجود حملة هجمات نشطة تستهدف أجهزة Fortinet FortiGate، وذلك بعد أقل من أسبوع على الكشف العلني عن ثغرتين خطيرتين في المصادقة، معرفتان بـCVE-2025-59718 وCVE-2025-59719، وتم منحهما تقييم خطورة 9.8 وفقاً لمقياس CVSS. تستخدم هذه الثغرات لتجاوز التحقق في تسجيل الدخول الموحد (SSO) بطريقة غير مصادق عليها، عبر رسائل SAML معدلة، في حال كان خيار FortiCloud SSO مفعلاً.
وذكرت Arctic Wolf في نشرتها الأمنية أن FortiCloud SSO يكون معطلاً افتراضياً، لكنه يفعل تلقائياً عند تسجيل FortiCare، ما لم يقم المسؤول بإيقافه يدوياً من صفحة الإعدادات عبر إلغاء تفعيل خيار السماح بتسجيل الدخول الإداري باستخدام FortiCloud SSO.
اعتمدت الهجمات على عناوين IP تابعة لعدد محدود من مزودي خدمات الاستضافة مثل The Constant Company LLC وBL Networks وKaopu Cloud HK Limited، والتي استخدمت لتسجيل دخول غير مصرح به إلى حساب admin، ثم تصدير إعدادات الأجهزة عبر الواجهة الرسومية إلى نفس عناوين IP المهاجمة.
وأشارت Arctic Wolf إلى أن الحملة لا تزال في مراحلها الأولية، حيث رصدت تأثيرها على نسبة محدودة من الشبكات الخاضعة للرقابة، مرجحة أن تكون هذه الهجمات ذات طابع انتهازي، دون قدرة حالية على نسبتها إلى جهة تهديد معينة.
توصيات فورية تشمل تعطيل FortiCloud SSO وتحديث الأجهزة بالكامل
أوصت الشركة المنظمات بتحديث أجهزتها إلى الإصدارات الأخيرة، وتعطيل ميزة FortiCloud SSO إلى حين الانتهاء من التحديثات، إضافة إلى تقييد الوصول إلى واجهات إدارة الجدران النارية وخدمات VPN للمستخدمين الداخليين فقط.
ونبهت Arctic Wolf إلى أن كلمات المرور المخزنة في إعدادات الأجهزة عادة ما تكون مشفرة، إلا أن الجهات المهاجمة تملك القدرة على فكّ التشفير خارجياً، خصوصاً في حال كانت كلمات المرور ضعيفة أو مأخوذة من قوائم قاموسية.
وأضافت أنه في حال اكتشف عملاء Fortinet مؤشرات تدل على وجود اختراق يتماشى مع الحملة الحالية، فيجب عليهم اعتبار أجهزتهم مخترقة، والبدء فوراً بإعادة تعيين بيانات الدخول المشفرة ضمن إعدادات الجدار الناري المسروقة.
وكالة CISA الأميركية تدرج الثغرة ضمن قائمة الثغرات المستغلة فعلياً
أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) الثغرة CVE-2025-59718 رسمياً ضمن قائمتها للثغرات المستغلة، وألزمت الوكالات الفيدرالية المدنية التابعة للحكومة الأميركية (FCEB) بتطبيق التحديثات اللازمة في موعد أقصاه 23 ديسمبر 2025.
