سوءاستفاده هکرها از آسیب‌پذیری‌های بحرانی Fortinet تنها چند روز پس از انتشار وصله امنیتی

مهاجمان سایبری در حال سوءاستفاده فعال از دو آسیب‌پذیری بحرانی Fortinet با شناسه‌های CVE-2025-59718 و CVE-2025-59719 هستند؛ این حملات تنها چند روز پس از انتشار وصله‌های امنیتی آغاز شده و چندین محصول Fortinet را تحت تأثیر قرار داده‌اند.

بر اساس هشدار شرکت Arctic Wolf، مهاجمان شروع به بهره‌برداری از این دو آسیب‌پذیری با امتیاز CVSS معادل ۹.۱ کرده‌اند. این آسیب‌پذیری‌ها محصولات FortiOS، FortiWeb، FortiProxy و FortiSwitchManager را در شرایطی که قابلیت FortiCloud SSO فعال باشد، تحت تأثیر قرار می‌دهند.

هفته گذشته Fortinet مجموعاً ۱۸ آسیب‌پذیری را برطرف کرد که در میان آن‌ها دو مورد فوق از اهمیت ویژه‌ای برخوردار بودند. هر دو آسیب‌پذیری از نوع بررسی نادرست امضای رمزنگاری‌شده هستند.

این نقص امنیتی به مهاجم غیرمجاز اجازه می‌دهد با استفاده از یک پیام SAML دست‌کاری‌شده، فرآیند احراز هویت FortiCloud SSO را دور بزند و بدون نیاز به احراز هویت معتبر وارد پنل مدیریتی شود، مشروط بر اینکه FortiCloud SSO فعال باشد. این قابلیت به‌صورت پیش‌فرض غیرفعال است، اما در زمان ثبت دستگاه در FortiCare، اگر مدیر سیستم گزینه
“Allow administrative login using FortiCloud SSO”
را غیرفعال نکند، این ویژگی به‌طور خودکار فعال می‌شود.

Fortinet در اطلاعیه خود اعلام کرده است که اگرچه FortiCloud SSO به‌صورت پیش‌فرض فعال نیست، اما هنگام ثبت دستگاه از طریق رابط گرافیکی، در صورت عدم غیرفعال‌سازی گزینه مربوطه، دسترسی مدیریتی از طریق FortiCloud SSO فعال خواهد شد.

به‌عنوان راهکار موقت، Fortinet توصیه می‌کند تا زمان ارتقا به نسخه‌های امن، قابلیت ورود مدیریتی از طریق FortiCloud SSO غیرفعال شود.

نسخه‌های آسیب‌پذیر و نسخه‌های اصلاح‌شده

FortiOS

۷.۶.۰ تا ۷.۶.۳ → ارتقا به ۷.۶.۴ یا بالاتر
۷.۴.۰ تا ۷.۴.۸ → ارتقا به ۷.۴.۹ یا بالاتر
۷.۲.۰ تا ۷.۲.۱۱ → ارتقا به ۷.۲.۱۲ یا بالاتر
۷.۰.۰ تا ۷.۰.۱۷ → ارتقا به ۷.۰.۱۸ یا بالاتر
۶.۴ → تحت تأثیر نیست

FortiProxy

۷.۶.۰ تا ۷.۶.۳ → ارتقا به ۷.۶.۴ یا بالاتر
۷.۴.۰ تا ۷.۴.۱۰ → ارتقا به ۷.۴.۱۱ یا بالاتر
۷.۲.۰ تا ۷.۲.۱۴ → ارتقا به ۷.۲.۱۵ یا بالاتر
۷.۰.۰ تا ۷.۰.۲۱ → ارتقا به ۷.۰.۲۲ یا بالاتر

FortiSwitchManager

۷.۲.۰ تا ۷.۲.۶ → ارتقا به ۷.۲.۷ یا بالاتر
۷.۰.۰ تا ۷.۰.۵ → ارتقا به ۷.۰.۶ یا بالاتر

FortiWeb

۸.۰.۰ → ارتقا به ۸.۰.۱ یا بالاتر
۷.۶.۰ تا ۷.۶.۴ → ارتقا به ۷.۶.۵ یا بالاتر
۷.۴.۰ تا ۷.۴.۹ → ارتقا به ۷.۴.۱۰ یا بالاتر
۷.۲ و ۷.۰ → تحت تأثیر نیستند

این آسیب‌پذیری‌ها به‌صورت داخلی توسط Yonghui Han و Theo Leleu از تیم امنیت محصولات Fortinet شناسایی و گزارش شده‌اند.

طبق گزارش Arctic Wolf، از ۱۲ دسامبر ۲۰۲۵، یعنی تنها سه روز پس از انتشار وصله‌ها، حملات واقعی آغاز شده‌اند. این حملات شامل ورودهای مخرب از طریق SSO به دستگاه‌های FortiGate بوده و عمدتاً حساب‌های مدیریتی را هدف قرار داده‌اند. پس از دسترسی، مهاجمان از طریق رابط گرافیکی FortiGate اقدام به دانلود فایل‌های پیکربندی دستگاه کرده‌اند.

این فایل‌های پیکربندی شامل هش رمزهای عبور هستند که می‌توانند به‌صورت آفلاین کرک شوند و ریسک نفوذهای بعدی را افزایش دهند.

تحلیلگران Arctic Wolf اعلام کرده‌اند که حملات از مجموعه محدودی از ارائه‌دهندگان هاستینگ انجام شده و مهاجمان با موفقیت از طریق SSO به حساب admin وارد شده‌اند. پس از آن، تنظیمات دستگاه استخراج و به همان IPهای مهاجم منتقل شده است. این شرکت اعلام کرده که مکانیزم‌های شناسایی این نوع فعالیت‌ها فعال است و همچنان پایش تهدید را ادامه خواهد داد.

مدیران سیستم اکیداً توصیه می‌شوند نشانه‌های نفوذ را بررسی کرده، در صورت لزوم رمزهای عبور را تغییر دهند، دسترسی مدیریتی فایروال را به شبکه‌های مورد اعتماد محدود کنند و در سریع‌ترین زمان ممکن دستگاه‌ها را به نسخه‌های امن ارتقا دهند. همچنین غیرفعال‌سازی ورود مدیریتی از طریق FortiCloud SSO به‌عنوان یک اقدام کاهنده ریسک توصیه شده است.