کمیته رکن چهارم– تنها چند روز پس از افشای عمومی، مهاجمان سایبری شروع به بهرهبرداری فعال از دو آسیبپذیری خطرناک در تجهیزات Fortinet FortiGate کردهاند. این آسیبپذیریها به آنها اجازه میدهند بدون نیاز به رمز عبور و احراز هویت، به سیستم وارد شده و اطلاعات حساس را استخراج کنند.
به گزارش کمیته رکن چهارم، شرکت Arctic Wolf اعلام کرده در تاریخ ۱۲ دسامبر ۲۰۲۵ ورودهای غیرمجاز به حسابهای مدیریتی دستگاههای FortiGate را شناسایی کرده است. مهاجمان از آسیبپذیریهایی با شناسههای CVE-2025-59718 و CVE-2025-59719 که هر دو دارای امتیاز ۹.۸ هستند، سوءاستفاده کردهاند. این آسیبپذیریها به آنها امکان میدهد احراز هویت SAML SSO را دور زده و وارد حساب admin شوند، مشروط بر اینکه قابلیت FortiCloud SSO روی دستگاه فعال باشد.
اگرچه این قابلیت بهطور پیشفرض غیرفعال است، اما در هنگام ثبت دستگاه در FortiCare بهصورت خودکار فعال میشود. در نمونههای ثبتشده، مهاجمان پس از ورود به سیستم، فایلهای پیکربندی را از طریق رابط گرافیکی دستگاه دریافت کرده و به سرورهای خاصی ارسال کردهاند.
توصیههای امنیتی شامل نصب فوری بهروزرسانیهای Fortinet برای محصولات FortiOS، FortiWeb، FortiProxy و FortiSwitchManager، غیرفعال کردن FortiCloud SSO تا زمان نصب وصله و محدودسازی دسترسی به رابطهای مدیریتی تنها برای کاربران داخلی است. همچنین اگر فایلهای پیکربندی استخراجشده شامل رمزهای هششده باشد، بهتر است رمزها فوراً تغییر داده شوند.
آژانس امنیت سایبری ایالات متحده (CISA) نیز در ۱۶ دسامبر ۲۰۲۵ آسیبپذیری CVE-2025-59718 را به فهرست آسیبپذیریهای فعال اضافه کرده و سازمانهای فدرال را موظف به اعمال اصلاحیه تا ۲۳ دسامبر کرده است.
