CISA تحذر عملاء Fortinet مع وصول FortiBleed إلى 86,644 جهاز FortiGate

رافي لاكشمانان19 يونيو 2026استخبارات التهديدات / أمن جدار الحماية

وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يوم الخميس حث يتعين على عملاء Fortinet الذين يستخدمون أجهزة FortiGate اتخاذ الخطوات اللازمة للحماية من الأنشطة الضارة المستمرة التي تستهدف آلاف الأجهزة التي يمكن الوصول إليها عبر الإنترنت.

وقد أُطلق على الحملة الشاملة، التي يُعتقد أنها من عمل جهات تهديد ناطقة بالروسية، اسم رمزي فورتيبليد. ويبلغ عدد الأجهزة المخترقة 86,644 جهازًا اعتبارًا من 19 يونيو 2026.

وفقًا لبيانات من SOCRadar، تشكل حسابات الإدارة العامة (35%) وحسابات نظام Fortinet المضمنة (28.3%) معًا غالبية بيانات الاعتماد المخترقة. تمثل الحسابات الخاصة بالمؤسسة 36.7% من بيانات الاعتماد المتبقية.

وقالت SOCRadar: “يشير هذا بشكل مباشر إلى فشل واسع النطاق في إعادة تسمية الحسابات الافتراضية أو تدوير بيانات اعتماد المصنع، مما يمنح المهاجم قائمة أهداف موثوقة للغاية قبل الحاجة إلى أي قوة غاشمة”.

“تعد الحسابات الخاصة بالمؤسسة التي تتصدر القائمة أمرًا مهمًا. فهذا يعني أن المهاجم لا يجمع بيانات الاعتماد الافتراضية فحسب، بل نجح أيضًا في اختراق الحسابات التي أنشأتها المؤسسات نفسها، وربما مصدرها انتهاكات سابقة حيث لم يتم تغيير كلمات المرور مطلقًا.”

وبرزت قطاعات الاتصالات والحكومة والتعليم باعتبارها القطاعات الثلاثة الأكثر تأثراً، مع وجود معظم التعرضات في الهند والولايات المتحدة والمكسيك وكولومبيا وتايلاند.

الأمن السيبراني

يقال إن جهة التهديد قد قامت بمسح شامل للإنترنت بحثًا عن نقاط نهاية تسجيل الدخول عن بعد لـ Fortinet، ثم استخدمت أداة مخصصة لرش نقاط النهاية المحددة بمجموعات تسجيل دخول وكلمات مرور معروفة في محاولة لاقتحامها.

تم بناء الهجوم الآلي بالكامل حول نهج مكتفي ذاتيًا يتكون من خطوتين –

  • يحاول ممثل التهديد الحصول على قائمة منسقة من كلمات مرور Fortinet المسربة ضد الأجهزة عبر الإنترنت.
  • بمجرد الحصول على الوصول، يقومون بمراقبة حركة مرور الشبكة بشكل سلبي عبر الأجهزة لجمع بيانات اعتماد إضافية، والتي يتم استخدامها بعد ذلك لاختراق المزيد من الأجهزة.

تعتبر بيانات الاعتماد مشروعة وصالحة، حيث يتحقق المهاجمون من كل واحدة منها قبل إضافتها إلى قاعدة بيانات تسجيلات الدخول المؤكدة والعملية.

“حجم هذا الانتهاك يمس تقريبا كل قطاع من قطاعات الاقتصاد العالمي، ولا يستثني أي صناعة،” هدسون روك قال. “لقد قامت الجهات الفاعلة في مجال التهديد ببناء قاعدة بيانات تم التحقق منها لأوراق اعتماد العمل لبعض أكبر الشركات على هذا الكوكب.”

المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) لديه الموصوفة FortiBleed هي حملة عالمية تستهدف جدران الحماية Fortinet وبوابات VPN التي تواجه الإنترنت باستخدام أساليب مثل القوة الغاشمة وهجوم القاموس وحشو بيانات الاعتماد.

من المحتمل أن الجهات الفاعلة في مجال التهديد استغلت آليات تجزئة بيانات الاعتماد القديمة والطريقة التي تم بها تخزين بيانات الاعتماد تاريخياً داخل ملفات تكوين FortiGate لتنفيذ هجوم واسع النطاق.

“قدمت شركة Fortinet تجزئة كلمة المرور المستندة إلى PBKDF2 لبيانات اعتماد المسؤول في FortiOS 7.2.11 و7.4.8 و7.6.1، لتحل محل آلية التخزين القديمة المستندة إلى SHA-256،” Arctic Wolf قال. “ومع ذلك، عند الترقية من الإصدارات السابقة، تظل كلمات مرور المسؤول الحالية مخزنة كتجزئة SHA-256 حتى يقوم المسؤول المقابل بتسجيل الدخول بنجاح بعد الترقية.”

“ونتيجة لذلك، من المحتمل أن تستمر العديد من المؤسسات في تخزين بيانات اعتماد المسؤول باستخدام SHA-256 الأقدم مع آليات تجزئة Salt.”

الأمن السيبراني

في بيان تمت مشاركته مع The Hacker News، قال متحدث باسم Fortinet “من المحتمل أن تكون البيانات المعنية عبارة عن إعادة مشاركة لبيانات من حوادث سابقة، بالإضافة إلى القوة الغاشمة لبيانات الاعتماد، ولا تتعلق بأي حادث أو استشارة حالية”، وحث المؤسسات على اتباع أفضل الممارسات، بما في ذلك تدوير بيانات الاعتماد الأمنية بانتظام وتمكين المصادقة متعددة العوامل (MFA).

وقد حددت CISA التوصيات التالية للدفاع ضد هذا النشاط –

  • قم بإنهاء جميع جلسات SSL VPN والجلسات الإدارية النشطة، وإعادة تعيين جميع كلمات المرور الإدارية وكلمات المرور الخاصة بـ Fortinet VPN، خاصة على الأنظمة التي تواجه الإنترنت، وفرض سياسات كلمات مرور قوية.
  • التأكد من استخدام وظيفة اشتقاق المفتاح المعتمد على كلمة المرور 2 (PBKDF2) لتخزين بيانات اعتماد المسؤول وإزالة التجزئات القديمة الأضعف.
  • قم بمراجعة سجلات جدار الحماية والشبكة الظاهرية الخاصة (VPN) والمصادقة ووحدة التحكم بالمجال بحثًا عن علامات الإجراءات المشبوهة، بما في ذلك تغييرات التكوين غير المصرح بها.
  • تمكين MFA المقاوم للتصيد الاحتيالي على جميع البوابات الخارجية والواجهات الإدارية.
  • تقليل سطح الهجوم وتأمين الإدارة.

ظهرت حادثة FortiBleed لأول مرة في الأسبوع الماضي بعد أن اكتشف الباحث الأمني ​​Volodymyr “Bob” Diachenko خادمًا يحتوي على قاعدة بيانات لبيانات اعتماد تسجيل الدخول العاملة لآلاف جدران الحماية وبوابات VPN عبر 194 دولة. وفقًا لـ SOCRadar، قام الخادم أيضًا بتنظيم أدوات المهاجم والبرامج النصية للأتمتة.

توضح النتائج مرة أخرى كيف يمكن استخدام إعادة استخدام بيانات الاعتماد وسوء نظافة كلمات المرور كسلاح من قبل الجهات الفاعلة الخبيثة، ناهيك عن أن أجهزة الأمن المحيطي تظل هدفًا مربحًا للوصول الأولي إلى بيئات المؤسسات.