یک عامل تهدید طی هفته گذشته با سوءاستفاده از لاگینهای Single Sign-On (SSO) اقدام به نفوذ به فایروالهای Fortinet کرده است؛ موضوعی که این احتمال را مطرح میکند که یک آسیبپذیری دور زدن احراز هویت که پیشتر افشا و ظاهراً اصلاح شده بود، بهطور کامل برطرف نشده است.
پژوهشگران Arctic Wolf Labs اعلام کردند فعالیت مخرب از ۱۵ ژانویه آغاز شده و شامل لاگینهای SSO و ایجاد تغییرات غیرمجاز در پیکربندی دستگاههای FortiGate بوده است. به گفته این تیم، مهاجم پس از دسترسی به فایروالها، حسابهای کاربری عمومی ایجاد کرده، دسترسی VPN به آنها داده و سپس فایلهای پیکربندی فایروالها را استخراج کرده است.
به گفته Arctic Wolf Labs، این فعالیتها که احتمالاً بهصورت خودکار انجام شدهاند، شباهت زیادی به کمپین تهدیدی دارند که این شرکت در ماه دسامبر، پس از افشای دو آسیبپذیری بحرانی Fortinet با شناسههای CVE-2025-59718 و CVE-2025-59719 مستند کرده بود.
Fortinet برای هر دو نقص امنیتی پچ (patch) منتشر کرده بود، اما CVE-2025-59718 (که امکان دور زدن احراز هویت لاگین FortiCloud SSO را فراهم میکند) همان ماه بهطور فعال مورد سوءاستفاده قرار گرفت. آژانس امنیت سایبری و زیرساخت آمریکا (CISA) نیز چند روز پس از گزارش اولیه Arctic Wolf، این آسیبپذیری را به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرد.
فعالیت مخرب اخیر همزمان با گزارشهای تأییدنشدهای از سوی کاربران درباره لاگینهای مخرب SSO روی دستگاههای FortiGate بهروزشده منتشر شده است. چندین کاربر در انجمن r/Fortinet در ردیت گزارش دادهاند که فایروالهایی با نسخههای اصلاحشده FortiOS نیز دچار نفوذ شدهاند؛ موضوعی که تردیدها درباره اثربخشی کامل پچها را افزایش داده است.
Arctic Wolf Labs هشدار داده است: «در حال حاضر مشخص نیست که آیا پچی که در ابتدا برای CVE-2025-59718 و CVE-2025-59719 منتشر شد، بهطور کامل این فعالیت تهدیدآمیز جدید را پوشش میدهد یا خیر.»
این تیم تحقیقاتی به Dark Reading اعلام کرده که هنوز نمیتواند با قطعیت تأیید کند آیا یک روش دور زدن پچ (patch bypass) مورد سوءاستفاده قرار گرفته است یا نه. با این حال، پژوهشگران به گزارشهای مستقلی اشاره کردهاند که نشان میدهد حتی دستگاههای کاملاً پچ شده نیز ممکن است تحت تأثیر این موج جدید حملات قرار گرفته باشند.
Dark Reading برای دریافت توضیح با Fortinet تماس گرفت، اما این شرکت تا زمان انتشار گزارش پاسخی ارائه نکرد.
در همین حال، کارل ویندسور (Carl Windsor)، مدیر ارشد امنیت اطلاعات (CISO) شرکت Fortinet، در پستی وبلاگی که شامگاه پنجشنبه منتشر شد، تأیید کرد موج جدید لاگینهای مخرب SSO ناشی از پچهای ناکامل برای CVE-2025-59718 و CVE-2025-59719 بوده است.
ویندزور نوشت: «اخیراً تعداد محدودی از مشتریان فعالیتهای لاگین غیرمنتظرهای را گزارش کردند که بسیار شبیه به مشکل قبلی بود. با این حال، در ۲۴ ساعت گذشته مواردی شناسایی شد که در آنها حمله به دستگاههایی انجام شده بود که در زمان حمله به آخرین نسخه موجود ارتقا یافته بودند؛ موضوعی که از وجود مسیر حمله جدید حکایت دارد.»
به گفته وی، تیم امنیت محصول Fortinet این مشکل را شناسایی کرده و در حال کار روی اصلاحیه جدید است. ویندزور همچنین تأکید کرد که اگرچه تاکنون فقط لاگینهای مخرب FortiCloud SSO مشاهده شده، اما این نقص «تمام پیادهسازیهای SAML SSO» را تحت تأثیر قرار میدهد.
حملات احتمالی خودکار به فایروالهای Fortinet
Arctic Wolf Labs اعلام کرد پس از دسترسی مهاجم از طریق SSO، مجموعهای از اقدامات مخرب (از ایجاد چندین حساب کاربری تا استخراج دادههای پیکربندی) در بازه زمانی بسیار کوتاهی انجام شده است. به گفته پژوهشگران، این سرعت بالا نشاندهنده احتمال خودکار بودن حملات است.
این فعالیتها در مدتزمانی کوتاه و در چندین منطقه جغرافیایی رخ دادهاند، هرچند شواهد مشخصی مبنی بر استفاده از هوش مصنوعی در این کمپین مشاهده نشده است. دادههای پیکربندی به تعداد محدودی آدرس IP منتقل شدهاند.
برای کاهش ریسک، پژوهشگران به مشتریان Fortinet توصیه کردهاند دسترسی به رابطهای مدیریتی فایروال و VPN را به شبکههای داخلی و مورد اعتماد محدود کنند. همچنین در صورت شناسایی لاگینهای مخرب، مدیران باید فرض کنند که هشهای اطلاعات کاربری فایروال به خطر افتاده و فوراً تمامی گذرواژهها را تغییر دهند. به گفته Arctic Wolf Labs، مهاجمان سابقه شکستن هشها بهصورت آفلاین، بهویژه در مورد گذرواژههای ضعیف، را دارند.
این تیم همچنین پیشنهاد کرده است که بهعنوان یک راهکار موقت، قابلیت FortiCloud SSO login روی دستگاهها غیرفعال شود؛ راهکاری که Fortinet پیشتر برای کاهش ریسک مرتبط با CVE-2025-59718 و CVE-2025-59719 ارائه کرده بود.
لاگینهای مخرب SSO جدیدترین تهدید پیش روی مشتریان Fortinet در سال جاری محسوب میشود. هفته گذشته نیز یک آسیبپذیری بحرانی دیگر در پلتفرم FortiSIEM با شناسه CVE-2025-64155 بهطور فعال مورد سوءاستفاده قرار گرفته بود.