أكدت شركة Fortinet استغلال جهات مهاجمة لثغرات أمنية جرى رصدها سابقاً في أجهزة FortiGate، وذلك بهدف الحفاظ على وصول دائم للقراءة فقط داخل بعض البيئات الرقمية المتضررة. تعتمد هذه الآلية التقنية على إنشاء رابط رمزي داخل مكون SSL-VPN التابع للجهاز، حيث يعمل هذا الملف كجسر يوجه النظام إلى موقع ملف آخر، مانحاً المهاجمين قدرة مستمرة على الوصول إلى ملفات النظام الحساسة حتى في حال إغلاق ثغرة الاختراق الأصلية.
تظهر هذه المشكلة كجزء من سلسلة استغلال أمني تبدأ بثغرة معروفة لم تُعالج آثارها بشكل كامل، لا تصنف كنقطة دخول أولية مستقلة بذاتها. وفي هذا السياق، أصدرت الشركة تنبيهاً أمنياً في العاشر من فبراير 2026 بشأن الثغرة CVE-2025-68686، أتبعته بتحديث في الثاني عشر من مارس 2026، حيث يتيح هذا الخلل لمهاجم غير موثق تجاوز التصحيحات الأمنية المرتبطة بآلية الاستمرارية في نظام SSL-VPN.
يتم تنفيذ هذا الاستغلال عبر إرسال طلبات HTTP مصاغة بطريقة خاصة، ويشترط لنجاحها حصول المهاجم مسبقاً على صلاحية الوصول إلى نظام الملفات نتيجة استغلال أمني سابق. ومن جانبها، طمأنت Fortinet عملاءها بأن الأجهزة التي لم تفعل فيها خدمة SSL-VPN سابقاً تظل بعيدة عن التأثر بهذه الحالة الأمنية الخاصة، مؤكدة على أهمية مراجعة سجلات الأنظمة التي كانت الخدمة نشطة فيها.
مخاطر استخراج البيانات والتحرك الجانبي داخل الشبكات المؤسسية
تكمن الخطورة في هذا النوع من الهجمات في بقاء أثر المهاجم داخل الجهاز حتى بعد معالجة ثغرة الدخول الأولى؛ حيث ذكرت شركة Fortinet في مدونتها التحليلية أن المهاجمين عملوا على الربط بين مساحة ملفات المستخدم وجذر النظام (Root) ضمن مجلدات ملفات اللغة الخاصة بواجهة SSL-VPN، ما ساعد على إخفاء وجودهم وتصعيب عملية الاكتشاف.
وقد يستمر هذا الأثر حتى بعد تثبيت الإصدارات الحديثة التي عالجت الثغرة الأصلية، وذلك في حال لم يتم التعرف على الرابط الرمزي الخبيث وحذفه يدوياً أو عبر أدوات الفحص المتخصصة.
وفي سياق متصل، كشف تقرير نشرته شركة SentinelOne عن صورة عملية للنتائج المترتبة على اختراق أجهزة FortiGate.
تعاملت فرق الاستجابة للحوادث مع اختراقات استهدفت أجهزة FortiGate NGF، والتي تطورت لاحقاً إلى تحركات جانبية تهدف للوصول إلى عمق الشبكات المستهدفة. وتمنح قدرة المهاجم على سحب ملف الإعدادات إمكانية الوصول إلى معلومات بالغة الحساسية، تشمل بيانات اعتماد الحسابات الخدمية وتفاصيل دقيقة حول البنية التحتية، ما يسهل عمليات اختراق أوسع نطاقاً.
يرتبط جزء من هذه الحوادث بثغرات طالت آليات الدخول الموحد (SSO) في أجهزة Fortinet، حيث رُصدت هجمات بين ديسمبر 2025 وفبراير 2026 استغلت الثغرتين CVE-2025-59718 وCVE-2025-59719. وتتعلق هاتان الثغرتان بضعف في التحقق من التوقيع المشفر لرموز SSO، الأمر الذي قد يمنح المهاجم وصولاً إدارياً كاملاً عبر استخدام رموز مزورة.
كما أشارت التقارير إلى الثغرة CVE-2026-24858 التي عولجت في يناير 2026، والتي كانت تسمح بتسجيل الدخول إلى الأجهزة المفعلة لخدمة FortiCloud SSO باستخدام حسابات يملكها المهاجم نفسه. تعكس هذه السلسلة من الثغرات تزايد التعقيد في أساليب الاستهداف التي تتطلب تدقيقاً مستمراً في إعدادات الوصول والهوية الرقمية.
استراتيجيات الدفاع والترقية الضرورية لحماية الأصول المعلوماتية
أظهرت التحليلات التشغيلية لشركة SentinelOne قيام المهاجمين بفك تشفير بيانات ملفات الإعدادات لاستخراج بيانات حسابات LDAP أو Active Directory، وهي الأنظمة المسؤولة عن إدارة الهويات والوصول. تبع ذلك إنشاء حسابات إدارية محلية وإضافة سياسات جدار ناري جديدة، في محاولة لدمج محطات عمل خبيثة داخل الدليل النشط للمؤسسة، وصولاً إلى محاولات استخراج ملف NTDS.dit الحساس في بيئات Windows.
أوضحت Fortinet في تحليلها الصادر في 10 أبريل 2025 أن النشاط المرصود لم يستهدف منطقة جغرافية أو قطاعاً محدداً، وذلك بناءً على البيانات المجموعة داخلياً وبالتعاون مع شركاء الأمن. واستجابة لذلك، طورت الشركة وسائل تخفيف تشمل توقيعات مضاد الفيروسات (AV) ونظام منع الاختراق (IPS) لاكتشاف الروابط الرمزية الخبيثة وإزالتها، كما تضمنت الإصدارات الأحدث تعديلات برمجية تضمن حصر الملفات التي تقدمها واجهة SSL-VPN في النطاق المتوقع فقط.
توجه الشركة دعوة عاجلة لجميع العملاء للترقية إلى الإصدارات 7.6.2، أو 7.4.7، أو 7.2.11، أو 7.0.17، أو 6.4.16 لضمان الحماية. وتتطلب الممارسات الدفاعية المثلى تشديد الرقابة على الوصول الإداري وتقليص ظهور واجهات الإدارة على شبكة الإنترنت المفتوحة، مع ضرورة مراقبة الأوامر الخاصة بسحب ملفات الإعدادات بانتظام لضمان سلامة النظام.
تنصح SentinelOne بضرورة الاحتفاظ بسجلات أجهزة جدران الحماية من الجيل التالي (NGFW) لفترات تتراوح بين 60 و90 يوماً، مع ربطها بمنصات إدارة الأحداث والمعلومات الأمنية (SIEM) لضمان توفر البيانات اللازمة للتحقيقات الجنائية الرقمية. وتشمل مؤشرات التحقق الموصى بها مراجعة سجلات الدخول عبر SSO، وسجلات تنزيل الإعدادات، بالإضافة إلى مراقبة أحداث إنشاء أي حسابات محلية غير مصرح بها على الأجهزة
