تم اكتشاف اثنتين من نقاط الضعف التي تم الكشف عنها مؤخرًا في مجموعة منتجات Fortinet مما أدى إلى إصدار تحذير للمدافعين قبل العطلة بعد إضافتهم إلى قائمة المنتجات. نقاط الضعف المستغلة المعروفة (KEV) الذي تديره وكالة الإنترنت الوطنية الأمريكية هذا الأسبوع.
العيبان، اللذان تم تتبعهما باسم CVE-2025-59718 وCVE-2025-59719، يمكّنان جهة التهديد من تجاوز مصادقة FortiCloud لتسجيل الدخول الموحد (SSO) عبر رسالة لغة ترميز تأكيد الأمان (SAML) المصممة بشكل ضار. بحسب فورتينتوهي موجودة في إصدارات متعددة من FortiOS وFortiWeb وFortiProxy وFortiSwitchManager.
تجدر الإشارة إلى أنه على الرغم من عدم تمكين الميزة الضعيفة افتراضيًا في إعدادات المصنع، إلا أنها يتم تنشيطها تلقائيًا إذا وعندما يتم تسجيل الجهاز في خدمة FortiCare التقنية عبر واجهة المستخدم الرسومية ما لم يقم مسؤول العميل بإلغاء الاشتراك صراحةً في هذا الأمر.
وقالت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) في بيان لها: “هذا النوع من الثغرات الأمنية هو ناقل هجوم متكرر للجهات الفاعلة السيبرانية الخبيثة ويشكل مخاطر كبيرة على المؤسسة الفيدرالية”.
تم الإبلاغ عنها في البداية بواسطة Fortinet في 9 ديسمبر، وتقوم أطراف ثالثة متعددة الآن بالإبلاغ عن نشاط الاستغلال قيد التقدم ضد CVE-2025-59718 وCVE-2025-59719.
وفقا لمحللي Rapid7 – الذين قاموا بمحاصرة محاولات استغلال متعددة ضد مصائد الجذب الخاصة بهم بعد نشر استغلال إثبات المفهوم على GitHub، شهدت العديد من الهجمات المرصودة قيام المهاجمين بالمصادقة كمستخدم إداري وتنزيل ملف تكوين النظام الخاص بالهدف على الفور – ويمكن أن يحتفظ هؤلاء غالبًا ببيانات اعتماد مجزأة.
ونتيجة لذلك، فإن أي منظمة لديها مؤشرات التسوية [IOCs] يجب أن يتحمل التعرض لبيانات الاعتماد ويستجيب وفقًا لذلك. قال فريق Rapid7: “يتوفر تصحيح البائع، ويمكن للمؤسسات أيضًا اتخاذ إجراءات دفاعية فورية من خلال تعطيل تسجيل الدخول الإداري لـ FortiCloud SSO أثناء جهود المعالجة”.
وقال الباحثون في القطب الشمالي وولف أنه إلى جانب تطبيق التحديثات المتاحة من Fortinet، يتعين على المؤسسات التي تجد أنها متأثرة إعادة تعيين بيانات اعتماد جدار الحماية الخاصة بها كإجراء احترازي، على أساس أنها ربما تكون قد تعرضت للاختراق والتسلل، وقصر الوصول إلى أجهزة جدار الحماية والشبكة الخاصة الافتراضية (VPN) على المستخدمين الداخليين الموثوق بهم.
نظرًا لأن منتجاتها متجذرة بعمق في العديد من الشبكات، كثيرًا ما يتم استهداف Fortinet من قبل جهات التهديد كنقطة وصول أولية إلى بيئات تكنولوجيا المعلومات الأوسع الخاصة بضحاياهم، لذا فإن المحاولات الإضافية ضد أحدث زوج من العيوب تعتبر محتملة للغاية.
هدايا عيد الميلاد
إلى جانب مشكلات تجاوز مصادقة Fortinet، أضافت CISA بعض العيوب البارزة إلى كتالوج KEV في الفترة التي سبقت العطلة الاحتفالية.
وتشمل هذه الثغرة CVE-2025-69374، وهي ثغرة أمنية مضمنة في تعليمات برمجية ضارة ظهرت في ASUS Live Update بعد إجراء تعديلات غير مصرح بها في هجوم إلكتروني على سلسلة التوريد.
تتعرض العديد من منتجات Cisco، بما في ذلك برنامج AsyncOS، وبوابة البريد الإلكتروني الآمنة من Cisco، والبريد الإلكتروني الآمن، وأجهزة Web Manager للخطر بسبب ثغرة أمنية في التحقق من صحة الإدخال، يتم تتبعها باسم CVE-2025-20393، والتي قد يتمكن من خلالها ممثل التهديد من تنفيذ أوامر عشوائية بامتيازات الجذر.
أخيرًا، يجب على مستخدمي SonicWall معالجة CVE-2025-40602، وهو عيب مفقود في الترخيص يتيح تصعيد الامتيازات على وحدة تحكم إدارة الأجهزة الخاصة ببوابات الوصول الآمنة من سلسلة SMA1000.
في وقت كتابة هذا التقرير، لم يتم ملاحظة استخدام أي من الثغرات المذكورة أعلاه في هجمات برامج الفدية.
