كشف تقرير أمني عن تسريب بيانات اعتماد مرتبطة بنحو 74 ألف جدار حماية وبوابة VPN من شركة Fortinet حول العالم، في واقعة أطلق عليها باحثون اسم FortiBleed، وذلك بعد العثور على بيانات كانت مخزنة ضمن ملفات إعدادات الأجهزة.
ووفقاً للتقارير المنشورة، جمعت مجموعة ناطقة بالروسية متخصصة في الجرائم السيبرانية بيانات الاعتماد من أجهزة Fortinet، قبل أن تظهر هذه البيانات مصادفة على خادم مكشوف مع أدوات وملفات أخرى. وقد رصد الباحث الأمني فولوديمير «بوب» دياتشينكو هذا التسريب وأبلغ عنه خلال عطلة نهاية الأسبوع السابقة للنشر.
وتشير تحليلات Hudson Rock إلى أن البيانات شملت 73,932 عنواناً فريداً لجدران حماية في 194 دولة. وأكد الباحث الأمني كيفن بومونت، بعد مراجعته أجزاء من البيانات، أن معلومات الدخول وكلمات المرور التي عاينها تبدو حقيقية، وأن عدداً كبيراً من الأجهزة المتأثرة كان لا يزال متصلاً بالإنترنت، وبعضها يعمل بتحديثات حديثة نسبياً.
وبحسب ما أورده الباحثون، يبدو أن المهاجمين استخرجوا جزءاً من البيانات من ملفات إعدادات مصدرة من الأجهزة نفسها، وهي ملفات قد تحتوي على معلومات لا تظهر عادة إلا من داخل الجهاز. وذكر دياتشينكو أن المجموعة كانت تنفذ عمليات حصاد آلي واسع النطاق لبيانات الاعتماد عبر اعتراض قيم مجزأة لمصادقة SSL VPN، ثم كسرها باستخدام بنية حوسبة تعتمد على 45 وحدة معالجة رسومية، قبل استخدام كلمات المرور للتوسع داخل بيئات Active Directory.
من جهتها، أوضحت Fortinet أن التسريب الأخير قد يتضمن بيانات جُمعت خلال حوادث سابقة أو عبر محاولات التخمين وكسر كلمات المرور، دون أن يعود ذلك بالضرورة إلى ثغرة واحدة مؤكدة حديثاً. وأشار بومونت إلى أن الشركة حسنت طريقة تخزين كلمات المرور في أوائل عام 2025 بالانتقال إلى معيار PBKDF2 القائم على دالة اشتقاق المفاتيح لإبطاء عمليات التخمين، إلا أن أجهزة كثيرة ربما بقيت تستخدم الأسلوب القديم والأضعف وهو SHA-256 المدمج بنص عشوائي، والذي يظل عرضة للاختراق عبر هجمات التخمين؛ لا سيما إذا لم يسجل المسؤولون الدخول بعد التحديث لتمكين النظام من التقاط كلمة المرور وإعادة توليد قيم التجزئة بالطريقة الجديدة المتطورة.
وتبرز خطورة التسريب في أن بيانات الاعتماد الصحيحة تتيح للمهاجمين الوصول عن بُعد إلى واجهات الإدارة، وتغيير إعدادات جدار الحماية، أو إنشاء مستخدمين خلفيين، أو تعطيل الضوابط الأمنية. ولفت التقرير إلى أن جهات كبرى، تشمل شركات عالمية ومؤسسات حكومية وقطاعات بنية تحتية حيوية، ظهرت ضمن قائمة الجهات المتأثرة.
وأوصى الباحثون المؤسسات التي تستخدم أجهزة Fortinet بالتحقق من نطاقاتها وعناوينها عبر أداة الفحص التي وفرتها Hudson Rock، والتعامل مع الظهور في التسريب كمؤشر يستدعي إجراء فحص أمني شامل. وتشمل الإجراءات العاجلة تدوير بيانات الاعتماد، تفعيل المصادقة متعددة العوامل، مراجعة سجلات الدخول، البحث عن حسابات خلفية أو تغييرات غير مصرح بها في الضوابط، وتحديث نظام FortiOS إلى أحدث إصدار، مع تقييد إتاحة واجهة الإدارة على الإنترنت إلا عند الضرورة القصوى.
