بهره‌برداری از آسیب‌پذیری SAML SSO در محصولات Fortinet

کمتر از یک هفته پس از انتشار وصله‌های امنیتی Fortinet، گزارش‌ها حاکی از آن است که مهاجمان سایبری به‌طور فعال در حال سوءاستفاده از آسیب‌پذیری‌های بحرانی برای نفوذ به فایروال‌های FortiGate هستند.

به گزارش افتانا، مهاجمان سایبری کمتر از یک هفته پس از افشای عمومی، شروع به سوءاستفاده فعال از دو آسیب‌پذیری امنیتی جدید در تجهیزات Fortinet FortiGate کرده‌اند. شرکت امنیت سایبری Arctic Wolf اعلام کرده که در ۱۲ دسامبر ۲۰۲۵، نفوذهایی را شناسایی کرده که در آن‌ها از ورودهای مخرب از طریق مکانیزم Single Sign-On در دستگاه‌های FortiGate استفاده شده است. این حملات بر پایه دو نقص بحرانی در دور زدن احراز هویت با شناسه‌های CVE-2025-59718 و CVE-2025-59719 انجام می‌شوند که هر دو دارای امتیاز شدت ۹٫۸ هستند. Fortinet هفته گذشته وصله‌های امنیتی مربوط به این آسیب‌پذیری‌ها را برای محصولات FortiOS، FortiWeb، FortiProxy و FortiSwitchManager منتشر کرده است.

به گفته آزمایشگاه Arctic Wolf، این آسیب‌پذیری‌ها به مهاجمان اجازه می‌دهند در صورتی که قابلیت FortiCloud SSO روی دستگاه فعال باشد، بدون احراز هویت واقعی و از طریق پیام‌های SAML دست‌کاری‌شده وارد سامانه مدیریتی شوند. هرچند FortiCloud SSO به‌صورت پیش‌فرض غیرفعال است، اما هنگام ثبت‌نام دستگاه در سرویس FortiCare معمولاً به‌طور خودکار فعال می‌شود، مگر اینکه مدیر سیستم به‌صورت دستی گزینه اجازه ورود مدیریتی با FortiCloud SSO را غیرفعال کرده باشد.

در حملات مشاهده‌شده، مهاجمان از آدرس‌های IP متعلق به تعداد محدودی از ارائه‌دهندگان میزبانی مانند The Constant Company LLC، ‏Bl Networks و Kaopu Cloud HK Limited برای انجام ورودهای مخرب به حساب کاربری admin استفاده کرده‌اند. پس از ورود موفق، آن‌ها تنظیمات کامل دستگاه را از طریق رابط گرافیکی مدیریتی استخراج کرده و این اطلاعات را به همان آدرس‌های IP منتقل کرده‌اند.

با توجه به سوءاستفاده فعال از این آسیب‌پذیری‌ها، به سازمان‌ها توصیه می‌شود هرچه سریع‌تر وصله‌های امنیتی ارائه‌شده را نصب کنند و تا زمان به‌روزرسانی کامل، قابلیت FortiCloud SSO را غیرفعال نگه دارند. همچنین محدود کردن دسترسی به رابط‌های مدیریتی فایروال‌ها و VPNها تنها به کاربران داخلی و مورد اعتماد اهمیت بالایی دارد. Arctic Wolf هشدار داده است که اگرچه گذرواژه‌ها در تنظیمات تجهیزات شبکه معمولاً به‌صورت هش ذخیره می‌شوند، اما مهاجمان می‌توانند این هش‌ها را به‌صورت آفلاین و به‌ویژه در صورت ضعیف بودن رمزهای عبور، با حملات دیکشنری بازیابی کنند.

درنهایت، به مشتریان Fortinet که نشانه‌هایی از نفوذ مرتبط با این حملات را در سامانه‌های خود مشاهده می‌کنند توصیه می‌شود فرض را بر نفوذ موفق بگذارند و تمامی گذرواژه‌های مدیریتی هش‌شده‌ای را که در تنظیمات استخراج‌شده وجود داشته‌اند، در اسرع وقت تغییر دهند.