پژوهشگران امنیتی در دو ماه گذشته سه آسیبپذیری بحرانی را در مکانیزم FortiCloud SSO محصولات فورتینت گزارش دادهاند که امکان دور زدن احراز هویت و دسترسی غیرمجاز به سیستمهای مدیریتی سازمانها را فراهم میکنند. این آسیبپذیریها که تحت شناسههای CVE-2025-59718، CVE-2025-59719 و CVE-2026-24858 ثبت شدهاند، تهدیدی جدی برای سازمانهای استفادهکننده از محصولات این شرکت آمریکایی پیشرو در امنیت سایبری محسوب میشوند.
جزئیات فنی آسیبپذیریهای FortiCloud SSO
ماهیت تهدید: دسترسی فراسازمانی غیرمجاز
این آسیبپذیریها به مهاجمان دارای حساب FortiCloud اجازه میدهند در صورت فعال بودن ویژگی SSO روی دستگاههای هدف، به حسابهای مدیریتی محصولات فورتینت سازمانهای دیگر دسترسی پیدا کنند. محصولات آسیبپذیر شامل طیف گستردهای از راهحلهای امنیتی فورتینت میشود:
سیستمهای تحت تأثیر:
- FortiOS (سیستم عامل دستگاههای فورتیگیت)
- FortiManager (سیستم مدیریت متمرکز)
- FortiAnalyzer (سیستم تحلیل و گزارشگیری)
- FortiProxy (پراکسی امن)
- FortiWeb (فایروال برنامه تحت وب)
روند کشف و طبقهبندی آسیبپذیریها
- CVE-2025-59718 و CVE-2025-59719: توسط کارشناسان داخلی فورتینت در جریان بررسی کد کشف شدند
- CVE-2025-59719: به فهرست آسیبپذیریهای شناختهشده مورد بهرهبرداری CISA اضافه شده است
- CVE-2026-24858: مستقیماً در جریان بررسی فعالیتهای غیرمجاز روی دستگاهها شناسایی شد
راهحل تشخیص و پایش: بسته تخصصی Kaspersky برای شناسایی سوءاستفاده
برای حفاظت از سازمانهای استفادهکننده همزمان از پلتفرم Kaspersky Unified Monitoring and Analysis Platform و دستگاههای فورتینت، مجموعهای تخصصی از قوانین همبستگی تحت عنوان FortiCloud SSO abuse package توسعه یافته است. این بسته که هماکنون در مخزن Kaspersky SIEM در دسترس مشتریان قرار دارد، شامل سه گروه قوانین نظارتی است:
۱. نظارت بر نشانگرهای نفوذ (Indicators of Compromise)
- آدرسهای IP منبع مشکوک
- نامهای کاربری غیرعادی
- ایجاد حساب جدید با نامهای خاص و از پیش تعریفشده
۲. پایش اقدامات مدیریتی حساس
- ورود از آدرس IP جدید و ناشناس
- ایجاد حساب مدیریتی جدید
- ورود از طریق مکانیزم SSO
- ورود از آدرس IP عمومی (غیر از شبکه سازمانی)
- خروجی گرفتن از پیکربندی دستگاه (Configuration Backup)
۳. شناسایی فعالیت مشکوک زنجیرهای
- خروجی گرفتن از پیکربندی بلافاصله پس از ورود مشکوک
- ایجاد حساب جدید بلافاصله پس از دسترسی غیرعادی
راهنمای پیادهسازی و کاهش هشدارهای کاذب
ملاحظات فنی برای استقرار مؤثر
- دریافت کامل رویدادها: اطمینان حاصل کنید رویدادها از دستگاههای فورتینت بهطور کامل دریافت میشوند
- نرمالسازی صحیح دادهها: رویدادها باید به درستی نرمالسازی شوند
- تکمیل فیلد Extra: این فیلد حاوی اطلاعات تکمیلی ارزشمند برای بررسیهای امنیتی است
مدیریت هشدارهای کاذب
- قوانین علامتگذاری شده با (info): ممکن است مثبت کاذب تولید کنند
- تعریف استثناها: آدرسهای IP و حسابهای کاربری مرتبط با فعالیت مدیریتی مجاز را به فهرست استثناها اضافه کنید
- تنظیم دقیق آستانه هشدار: بر اساس الگوهای دسترسی عادی در سازمان
اقدامات تکمیلی برای تقویت امنیت
بهروزرسانی و وصلهگذاری فوری
سازمانها باید بهروزترین وصلههای امنیتی فورتینت را بلافاصله اعمال کنند، به ویژه برای آسیبپذیریای که در فهرست CISA ثبت شده است.
بازنگری تنظیمات SSO
- بررسی مجدد پیکربندی FortiCloud SSO
- محدود کردن دسترسیهای SSO بر اساس اصل کمترین امتیاز
- نظارت فعال بر رویدادهای احراز هویت SSO
آموزش و آگاهسازی تیم امنیتی
- آشنایی با الگوهای حملات جدید
- آموزش پاسخ به حوادث مرتبط با سوءاستفاده از SSO
- بررسی دورهای لاگهای احراز هویت
نتیجهگیری: ضرورت نظارت فعال در معماری امنیتی مدرن
این آسیبپذیریها نشان میدهند که حتی راهحلهای امنیتی پیشرو نیز میتوانند در معرض تهدیدات پیچیده قرار گیرند. پیادهسازی لایههای دفاعی عمیق شامل نظارت فعال، تحلیل رفتاری و پاسخ سریع به حوادث برای مقابله با چنین تهدیداتی ضروری است. بسته FortiCloud SSO abuse package نمونهای عملی از رویکرد پیشگیرانه در امنیت سایبری است که سازمانها میتوانند برای تقویت وضعیت امنیتی خود از آن بهرهبرداری کنند.
سازمانهای استفادهکننده از محصولات فورتینت باید بلافاصله وضعیت سیستمهای خود را ارزیابی کرده و تمهیدات تشخیص و پاسخ مناسب را پیادهسازی کنند تا از دسترسی غیرمجاز به زیرساختهای حیاتی جلوگیری شود.
