کمیته رکن چهارم – یک خوشه جدید از فعالیتهای مخرب خودکار شناسایی شده که با سوءاستفاده از نقصهای امنیتی در قابلیت ورود یکپارچه (SSO)، منجر به تغییرات غیرمجاز در پیکربندی فایروالهای Fortinet FortiGate شده است.
به گزارش کمیته رکن چهارم، شرکت امنیت سایبری Arctic Wolf اعلام کرده است این فعالیتها از ۱۵ ژانویه ۲۰۲۶ آغاز شده و شباهت زیادی به کارزاری دارد که در دسامبر ۲۰۲۵ با محوریت ورودهای مخرب SSO به حساب مدیر (admin) در دستگاههای FortiGate مشاهده شده بود. مهاجمان در این حملات از دو آسیبپذیری با شناسههای CVE-2025-59718 و CVE-2025-59719 استفاده کردهاند که امکان دور زدن احراز هویت SSO را از طریق پیامهای SAML دستکاریشده فراهم میکند، مشروط بر آنکه قابلیت FortiCloud Single Sign-On روی دستگاه فعال باشد.
این نقصها محصولات FortiOS، FortiWeb، FortiProxy و FortiSwitchManager را تحت تأثیر قرار میدهند و به مهاجمان اجازه میدهند بدون ارائه اعتبارنامه معتبر وارد محیط مدیریتی شوند.
جزئیات فعالیت مخرب
بر اساس یافتههای Arctic Wolf، این خوشه تهدید شامل ایجاد حسابهای کاربری عمومی برای حفظ ماندگاری، اعمال تغییرات پیکربندی بهمنظور اعطای دسترسی VPN به این حسابها و استخراج فایلهای پیکربندی فایروالها بوده است. در جریان این حملات، ورودهای مخرب SSO با استفاده از یک حساب جعلی با نام cloud-init@mail.io و از چند آدرس IP مختلف انجام شده و سپس پیکربندیها از طریق رابط گرافیکی دستگاهها صادر شدهاند.
همچنین مهاجمان حسابهای ثانویهای با نامهایی مانند secadmin، itadmin، support، backup، remoteadmin و audit ایجاد کردهاند تا دسترسی پایدار خود را حفظ کنند. Arctic Wolf تأکید کرده است که تمامی این اقدامات در بازهای چندثانیهای رخ داده که نشاندهنده ماهیت کاملاً خودکار این حملات است.
تداوم نگرانیها پس از وصله
همزمان با انتشار این گزارش، کاربران متعددی در شبکههای اجتماعی اعلام کردهاند که حتی روی دستگاههای FortiOS کاملاً بهروزرسانیشده نیز نشانههایی از ورودهای مخرب SSO مشاهده کردهاند. به گفته برخی از این کاربران، تیم توسعه Fortinet تأیید کرده که این نقص ممکن است در برخی نسخهها، از جمله ۷٫۴٫۱۰، بهطور کامل برطرف نشده باشد.
توصیههای فوری
تا زمان ارائه توضیح یا اصلاح رسمی از سوی Fortinet، کارشناسان امنیتی توصیه میکنند قابلیت admin-forticloud-sso-login بهصورت موقت غیرفعال شود، لاگهای احراز هویت بهدقت بررسی شوند و هرگونه حساب کاربری ناشناس یا مشکوک از سیستم حذف شود.
جمعبندی
این رویداد بار دیگر نشان میدهد که قابلیتهای مبتنی بر ابر و SSO در تجهیزات امنیتی، در صورت وجود ضعف در پیادهسازی، میتوانند به یک نقطه ورود بحرانی برای مهاجمان خودکار تبدیل شوند. سازمانهایی که از FortiGate و FortiCloud SSO استفاده میکنند، باید هرچه سریعتر تنظیمات خود را بازبینی کرده و اقدامات پیشگیرانه لازم را در دستور کار قرار دهند.
منبع: The News Hacker
