أصدرت شركة Fortinet تحذيرًا عاجلًا بشأن ثغرة أمنية حرجة من نوع تجاوز المصادقة عبر مسار بديل أو قناة بديلة (Authentication Bypass Using an Alternate Path or Channel) تم استغلالها بشكل نشط، تحمل رقم التعريف CVE-2025-24472، وتؤثر على منتجات FortiOS وFortiProxy.
تفاصيل الثغرة
الثغرة تتيح للمهاجمين عن بُعد الحصول على صلاحيات المسؤول الأعلى (Super Admin) من خلال إرسال طلبات ضارة عبر وحدة WebSocket الخاصة بـ Node.js أو عبر طلبات CSF Proxy مُعدة خصيصًا. تشمل الإصدارات المتأثرة:
- FortiOS من الإصدار 7.0.0 وحتى 7.0.16
- FortiProxy من الإصدار 7.0.0 وحتى 7.0.19، وكذلك من 7.2.0 وحتى 7.2.12
تفاصيل الاستغلال
أفادت Fortinet بأن الثغرة قد استُغلت بالفعل في بيئات حقيقية. تمكن المهاجمون من:
- إنشاء حسابات مسؤولين وهميين أو مستخدمين محليين
- تعديل سياسات الجدار الناري
- إضافة هذه الحسابات إلى مجموعات مستخدمي SSL VPN
- فتح قنوات اتصال غير مصرّح بها إلى الشبكات الداخلية
كما تم ربط هذه الثغرة بثغرة سابقة (CVE-2024-55591) لها نفس الأثر التقني.
حملة الهجوم
رصدت شركة Arctic Wolf مؤشرات اختراق (IOCs) تتطابق مع هذه الثغرات، وحددت حملة هجوم على عدة مراحل:
- مرحلة المسح الأمني: من 16 إلى 23 نوفمبر 2024
- مرحلة الاستطلاع: من 22 إلى 27 نوفمبر 2024
- تكوين SSL VPN: من 4 إلى 7 ديسمبر 2024
- الانتقال الجانبي داخل الشبكة: من 16 إلى 27 ديسمبر 2024
لوحظت تسجيلات دخول إدارية غير مصرح بها وتكوينات مشبوهة في عدة مؤسسات ضحية.
التحديثات والتوصيات
أطلقت Fortinet تحديثات أمنية عاجلة تشمل:
- ترقية FortiOS إلى الإصدار 7.0.17 أو أعلى
- ترقية FortiProxy إلى الإصدار 7.0.20 أو 7.2.13 أو أعلى
للمؤسسات التي لا تستطيع التحديث مباشرة، توصي Fortinet بإيقاف واجهات الإدارة عبر HTTP/HTTPS أو تقييدها لتشمل عناوين IP موثوقة فقط من خلال سياسات الوصول المحلي (Local-In Policies).
كما شددت على أهمية تعطيل واجهات الإدارة المكشوفة للإنترنت بشكل فوري، ومراجعة سجلات الدخول للكشف عن أي نشاط غير معتاد.
أهمية التحديث والتأمين
يعكس هذا التطور أهمية الالتزام بتحديثات الأمان الدورية، وتقليل النطاق المكشوف من واجهات الإدارة، خاصة في منتجات الحماية الأساسية مثل الجدران النارية.
