أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) ثغرة أمنية حرجة ضمن قائمتها للثغرات المستغلة فعلياً، محذرة من تهديد يطال منتجات شركة Fortinet العالمية المتخصصة في حلول الشبكات. وتتيح الثغرة، التي تحمل الرمز المرجعي CVE-2026-24858، للمهاجمين تجاوز نظام المصادقة عند استخدام ميزة الدخول الموحد FortiCloud SSO، ما يفتح الباب أمام وصول غير مصرح به إلى الأجهزة الحساسة.
وتشير البيانات التقنية إلى أن الثغرة تندرج تحت فئة تجاوز المصادقة عبر مسار بديل، وقد منحتها الشركة تقييماً بلغ 9.8 من 10 على مقياس الخطورة (CVSS)، نظراً لإمكانية استغلالها عن بُعد دون الحاجة لتفاعل المستخدم، وهو ما يرفع منسوب القلق حيال سرية وسلامة بيانات المؤسسات المتضررة.
آلية الاستغلال والمنتجات المتأثرة
تعتمد آلية الهجوم على امتلاك المهاجم حساب FortiCloud وجهاز مسجل، حيث يمكنه استغلال هذا النفاذ لتسجيل الدخول إلى أجهزة أخرى تابعة لحسابات مختلفة، شريطة تفعيل خيار FortiCloud SSO. ورغم أن هذا الخيار لا يكون مفعلاً بشكل افتراضي، إلا أن العديد من مدراء الأنظمة يقومون بتنشيطه أثناء عمليات الإعداد عبر واجهات الإدارة الرسومية.
وتشمل قائمة الأنظمة المتأثرة إصدارات واسعة من FortiOS وFortiManager وFortiAnalyzer وFortiProxy، لاسيما الإصدارات التي تتراوح بين 7.0.0 و7.6.5. كما لفتت التقارير إلى احتمالية تأثر منتجات أخرى مثل FortiWeb، بينما تواصل الشركة تقييم تبعات الثغرة على بقية محفظتها التقنية.
تحركات احترازية ومؤشرات اختراق
رصدت فرق الاستجابة الأمنية سلوكيات هجومية مؤتمتة شملت إنشاء حسابات مدير محلية وسحب ملفات الإعدادات، وهو ما دفع الشركة إلى اتخاذ إجراءات استباقية صارمة. وبدأت في 23 يناير الجاري بتعطيل الحسابات المشبوهة، وتبعت ذلك بإيقاف مؤقت لخدمة SSO على المستوى السحابي، وصولاً إلى إطلاق التحديثات البرمجية الشاملة في 28 يناير.
ودعت الجهات التنظيمية مديري الأنظمة إلى فحص الأجهزة فوراً، والتحقق من وجود حسابات مشبوهة مثل [email protected] أو عناوين بروتوكول إنترنت (IP) مرتبطة بالنشاط الهجومي. وفي حال رصد أي تغييرات مفاجئة في إعدادات الشبكات الافتراضية الخاصة (VPN) أو الحسابات الإدارية، ينبغي التعامل مع النظام كبيئة مخترقة تتطلب استعادة النسخ الاحتياطية وتغيير كافة كلمات المرور.
جدول زمني حاسم
حددت وكالة CISA موعداً نهائياً للجهات الفيدرالية الأميركية لمعالجة هذا الخطر بحلول 30 يناير 2026، سواء عبر تثبيت التحديثات أو تعطيل الميزة المتأثرة. ويأتي هذا التحرك السريع ليعكس جدية التهديد الذي يمثله المسار الجديد للاستغلال، خاصة بعد تسجيل حالات مشابهة في أواخر العام الماضي.
