بدأت Fortinet في دفع إصلاحات أمنية عاجلة لمعالجة ثغرة يوم صفري خطيرة في نظام المصادقة الأحادية FortiCloud SSO، والتي تحمل الرقم CVE-2026-24858، بتقييم CVSS يبلغ 9.4، وذلك بعد رصد استغلال فعلي لها ضد أجهزة FortiGate لدى عدد من العملاء، بما في ذلك أجهزة كانت تعمل بإصدارات حديثة. وتكمن خطورة الثغرة في تمكين مهاجم يمتلك حساب FortiCloud وجهازاً مسجلاً من تسجيل الدخول إلى أجهزة مرتبطة بحسابات عملاء آخرين، شريطة أن تكون ميزة تسجيل الدخول عبر FortiCloud SSO مفعلة على تلك الأجهزة.
توصف Fortinet هذه الثغرة بأنها تجاوز للمصادقة عبر مسار بديل، وتشمل تأثيراتها أيضاً منصتي FortiManager وFortiAnalyzer. ووفقاً للمعلومات المتوفرة، فإن هذه الميزة لا تكون مفعلة بشكل افتراضي، لكنها قد تفعل تلقائياً عند تسجيل الجهاز من خلال واجهة الإدارة الرسومية، في حال لم يعمد المسؤول إلى إيقافها يدوياً. وتحذر الشركة من قابلية تطبيق هذه الهجمة على بروتوكولات مصادقة أخرى مثل SAML SSO.
تسلسل ميداني كشف عن اختراقات متسلسلة وحسابات إدارية خبيثة
أفادت Arctic Wolf Labs أنها بدأت منذ 15 يناير 2026 رصد سلوك آلي مشبوه تمثل في عمليات تسجيل دخول عبر FortiCloud SSO، تلتها إجراءات متسارعة تمثلت في تصدير ملفات إعدادات الجدار الناري، وإنشاء حسابات إدارية تهدف إلى الاستمرارية، مع إضافة صلاحيات VPN لبعض الحسابات.
وتضمنت التحقيقات لاحقاً تأكيدات بوقوع الهجمات على أجهزة كانت تعمل بإصدارات حديثة، ما دفع Fortinet للاعتراف بوجود مسار هجوم جديد، قبل أن تدرج الثغرة رسمياً ضمن سجل CVE وتطلق إصلاحات برمجية لتداركها.
تحديثات تدريجية وتحكم مرحلي في خاصية FortiCloud SSO
أصدرت Fortinet تسلسلاً زمنياً للإجراءات التي اتخذتها، شمل:
- في 22 يناير: حظر حسابات FortiCloud التي استغلها المهاجمون في الهجمات.
- في 26 يناير: تعطيل خاصية FortiCloud SSO على خوادم FortiCloud.
- في 27 يناير: إعادة تفعيل الميزة مع منع الدخول من الإصدارات غير المحدثة.
أما على صعيد التحديثات البرمجية، فقد تم إدراج الإصلاحات في:
- FortiOS 7.4.11
- FortiManager وFortiAnalyzer إصدار 7.4.10
وذكرت الشركة أنها ستضيف الإصلاحات إلى الإصدارات التالية:
- FortiOS: 7.6.6 / 7.2.13 / 7.0.19
- FortiManager: 7.6.6 / 7.2.13 / 7.0.16
- FortiAnalyzer: 7.6.6 / 7.2.12 / 7.0.16
- FortiProxy: 7.6.6 / 7.4.13
مؤشرات اختراق وعناوين IP يُشتبه بها
نشرت Fortinet وArctic Wolf عدداً من المؤشرات التقنية لمساعدة الفرق الأمنية، تضمنت حسابات FortiCloud مثل:
كما تم إدراج عناوين IP يشتبه في ارتباطها بالهجمات:
- 104.28.244.115
- 104.28.212.114
- 37.1.209.19
- 217.119.139.50
وتشير التحقيقات إلى أن الأسماء الإدارية التي تم إنشاؤها بعد الدخول غير المشروع شملت:
- audit / backup / itadmin / secadmin / support
- أسماء أخرى محتملة: backupadmin / deploy / remoteadmin / security / svcadmin / system
التوصيات الأمنية الصادرة من Fortinet وشركائها
أجمعت Fortinet وArctic Wolf على التوصيات التالية:
- ترقية الأنظمة فوراً إلى الإصدارات التي تحتوي على الإصلاح، إذ أصبحت الترقية شرطاً لاستمرار عمل FortiCloud SSO.
- مراجعة مؤشرات الاختراق وتحليل سجلات الدخول ومراجعة الحسابات الإدارية وأية تغييرات في إعدادات VPN.
- عند رصد دلائل اختراق: التعامل مع الجهاز كجهاز مخترق، واستعادة الإعدادات من نسخة نظيفة، مع تدوير كلمات المرور والمفاتيح الحساسة، بما في ذلك حسابات LDAP/AD.
وتبقى النصيحة الأساسية لتقليص سطح الهجوم متمثلة في تقييد واجهات الإدارة لتكون متاحة فقط عبر شبكات موثوقة، وتطبيق سياسات تقييد الوصول مثل local-in policy.
