شهدت الساحة الأمنية في منتصف شهر يناير لعام 2026 تصعيداً لافتاً في الأنشطة السيبرانية التخريبية، حيث رصدت فرق البحث في Arctic Wolf حملة هجمات مؤتمتة استهدفت بشكل مباشر أجهزة Fortinet FortiGate.
تعتمد هذه الهجمات على استغلال ميزة FortiCloud SSO عبر تسجيلات دخول خبيثة، تهدف في نهايتها إلى إجراء تعديلات غير مصرح بها في إعدادات الجدار الناري، وتأسيس حسابات إدارية تضمن للمهاجمين البقاء داخل الشبكة، وصولاً إلى سحب ملفات الإعدادات الحساسة وتصديرها إلى عناوين بروتوكول إنترنت (IP) مرتبطة بالنشاط الهجومي نفسه.
ورغم تحديد تاريخ الخامس عشر من يناير كبداية لهذا النمط، تظل الطريقة الدقيقة للوصول الأولي لغزاً تقنياً لم يُحسم بعد.
الآليات الفنية للهجوم ومؤشرات الاختراق الميدانية
اتسم النمط الهجومي الذي وثقته Arctic Wolf بتتابع زمني سريع جداً للإجراءات، ما يؤكد فرضية الاعتماد على التشغيل الآلي Automation. تبدأ السلسلة بتسجيل دخول إداري عبر نظام SSO باستخدام عناوين بريد إلكتروني محددة، يتبعها مباشرة تنزيل ملف إعدادات الجهاز عبر الواجهة الرسومية GUI، ثم إنشاء حسابات إدارية ثانوية بصلاحيات كاملة. يعكس تنفيذ هذه العمليات المعقدة خلال ثوانٍ معدودة مستوى عال من الاحترافية في البرمجة الهجومية.
تضمنت مؤشرات الاختراق ظهور حسابات بريدية مريبة في سجلات النظام مثل [email protected] و[email protected] كما تم رصد عناوين IP متكررة تعمل كمنصات لتسجيل الدخول واستقبال الملفات المصدرة، ومنها 104.28.244.115 و37.1.209.19.
وعلاوة على ذلك، يعمد المهاجمون إلى إنشاء حسابات بأسماء تبدو نظامية لضمان الاستمرارية مثل secadmin وsupport وremoteadmin. وتكمن الخطورة الكبرى في تصدير ملفات الإعدادات Configuration، إذ إنها تمنح المهاجم كشفاً كاملاً لسياسات الجدار الناري وبنية الشبكة الداخلية، بالإضافة إلى احتمالية استخراج بيانات الاعتماد المشفرة لمهاجمتها خارجياً، ما يحول الاختراق الموضعي إلى كارثة أمنية واسعة النطاق.
الارتباط بالثغرات الحرجـة وتحديات التفعيل التلقائي
يربط المحللون هذه الموجة بحملة سابقة ظهرت في ديسمبر 2025، استهدفت الثغرتين الحرجتين CVE-2025-59718 وCVE-2025-59719. تكمن العلة في هاتين الثغرتين في إمكانية تجاوز مصادقة SSO عبر رسائل SAML مصممة بشكل خبيث عندما تكون ميزة FortiCloud SSO نشطة. ويمتد نطاق الخطر ليشمل حزمة متنوعة من المنتجات مثل FortiOS وFortiProxy وFortiSwitchManager وFortiWeb.
ومن الجوانب التشغيلية المقلقة التي أشارت إليها Rapid7 أن الإعدادات الافتراضية قد تترك ميزة FortiCloud SSO معطلة، لكن مجرد تسجيل الجهاز في خدمة FortiCare عبر الواجهة الرسومية قد يؤدي إلى تفعيل الميزة تلقائياً. يضع هذا السلوك البرمجي الأنظمة في دائرة الخطر دون علم المسؤولين، ما لم يتم تعطيل الميزة صراحة وبشكل يدوي، مما يضاعف من احتمالات التعرض للاختراق نتيجة إعدادات مخفية يتم تفعيلها بمهام روتينية.
تقارير حول اختراق الأنظمة المحدثة وإدارة المخاطر
تطورت الأزمة مع ظهور تقارير ميدانية تشير إلى وقوع حوادث اختراق في أجهزة تعمل بإصدارات يُفترض أنها تلقت التصحيحات اللازمة. نقلت تقارير عن مدراء أنظمة رصدهم لتسجيلات SSO خبيثة على أنظمة FortiOS محدثة، مع إشارات إلى أن الإصدار 7.4.10 قد لا يزال يعاني من ثغرات لم تعالج بشكل كامل أو أن الإصلاحات السابقة كانت جزئية. وبالرغم من التواصل مع شركة Fortinet لاستيضاح الموقف، إلا أن الشركة لم تقدم رداً رسمياً حتى لحظة نشر التقارير.
وفي ظل هذه الضبابية، تلتزم Arctic Wolf بمنهجية حذرة في استنتاجاتها، حيث تؤكد أن آلية الوصول الأولي لم تزل غير مؤكدة، وأن مجرد تعطيل ميزة معينة قد لا يكفي لصد الهجمات إذا كانت هناك ثغرات أخرى لم تُكتشف بعد.
تفرض هذه المعطيات على مسؤولي الأمن السيبراني تبني استراتيجية الاستجابة المستمرة، والتعامل مع الحالة كخطر متطور يتطلب مراقبة لصيقة لسجلات الدخول وحركات تصدير البيانات، بدلاً من الاعتماد الكلي على التحديثات البرمجية كحل نهائي ووحيد.
