آغاز حملات سایبری به فایروالهای FortiGate
کمتر از یک هفته پس از انتشار وصلههای امنیتی شرکت Fortinet، گزارشها نشان میدهد مهاجمان سایبری بهطور فعال در حال بهرهبرداری از آسیبپذیریهای بحرانی در فایروالهای FortiGate هستند. این حملات بر پایه دو نقص امنیتی با شناسههای CVE-2025-59718 و CVE-2025-59719 انجام میشوند که هر دو دارای امتیاز شدت ۹.۸ بوده و امکان دور زدن احراز هویت را فراهم میکنند.
نحوه سوءاستفاده از آسیبپذیری SAML SSO
به گفته آزمایشگاه امنیتی Arctic Wolf، این آسیبپذیریها به مهاجمان اجازه میدهند در صورت فعال بودن قابلیت FortiCloud SSO، بدون احراز هویت واقعی و از طریق پیامهای دستکاریشده SAML وارد سامانه مدیریتی شوند. هرچند این قابلیت بهطور پیشفرض غیرفعال است، اما هنگام ثبتنام دستگاه در سرویس FortiCare معمولاً فعال میشود مگر اینکه مدیر سیستم آن را دستی غیرفعال کند.
جزئیات حملات مشاهدهشده
در حملات اخیر، مهاجمان از آدرسهای IP متعلق به چند ارائهدهنده میزبانی از جمله:
- The Constant Company LLC
- Bl Networks
- Kaopu Cloud HK Limited
برای ورود مخرب به حساب کاربری admin استفاده کردهاند. پس از نفوذ موفق، آنها تنظیمات کامل دستگاه را استخراج کرده و دادهها را به همان آدرسهای IP منتقل کردهاند.
توصیههای امنیتی برای سازمانها
کارشناسان امنیتی هشدار دادهاند که سازمانها باید اقدامات فوری زیر را انجام دهند:
- نصب سریع وصلههای امنیتی منتشرشده برای محصولات FortiOS، FortiWeb، FortiProxy و FortiSwitchManager
- غیرفعالسازی قابلیت FortiCloud SSO تا زمان بهروزرسانی کامل
- محدود کردن دسترسی به رابطهای مدیریتی فایروالها و VPNها تنها برای کاربران داخلی و مورد اعتماد
خطر بازیابی گذرواژهها
Arctic Wolf تأکید کرده است که اگرچه گذرواژهها در تنظیمات تجهیزات شبکه بهصورت هش ذخیره میشوند، اما مهاجمان میتوانند این هشها را بهصورت آفلاین و بهویژه در صورت ضعیف بودن رمزهای عبور، با حملات دیکشنری بازیابی کنند.
جمعبندی
با توجه به سوءاستفاده فعال از آسیبپذیریهای SAML SSO در محصولات Fortinet، مشتریان این شرکت باید فرض را بر نفوذ موفق بگذارند و تمامی گذرواژههای مدیریتی ذخیرهشده را در اسرع وقت تغییر دهند. این اقدام میتواند از گسترش حملات و دسترسی غیرمجاز به زیرساختهای حیاتی جلوگیری کند.
