تجهیزات Fortinet FortiGate با دور زدن احراز هویت SAML SSO تحت حمله فعال قرار گرفتند!

مهاجمان سایبری تنها چند روز پس از افشای عمومی، اکسپلویت فعال از دو آسیب‌پذیری بحرانی در تجهیزات Fortinet FortiGate با دور زدن احراز هویت SAML SSO را آغاز کرده‌اند.

بر اساس گزارش شرکت امنیت سایبری Arctic Wolf، در تاریخ ۱۲ دسامبر ۲۰۲۵ حملات واقعی شامل ورودهای مخرب از طریق Single Sign-On (SSO) روی تجهیزات FortiGate شناسایی شده است.

این حملات از دو نقص بحرانی با شناسه‌های زیر سوءاستفاده می‌کنند:

• CVE-2025-59718

• CVE-2025-59719

• امتیاز شدت: CVSS 9.8 (Critical)

Fortinet پچ های امنیتی این آسیب‌پذیری‌ها را هفته گذشته برای محصولات زیر منتشر کرده است:

• FortiOS

• FortiWeb

• FortiProxy

• FortiSwitchManager

ماهیت آسیب‌پذیری: دور زدن احراز هویت SAML SSO

طبق اعلام Arctic Wolf Labs:

این آسیب‌پذیری‌ها امکان دور زدن کامل احراز هویت SSO از طریق پیام‌های SAML دست‌کاری‌شده را فراهم می‌کنند، مشروط بر اینکه قابلیت FortiCloud SSO روی دستگاه فعال باشد.

نکته مهم و خطرناک:

• FortiCloud SSO به‌صورت پیش‌فرض غیرفعال است

• اما در زمان ثبت FortiCare به‌طور خودکار فعال می‌شود

• مگر اینکه ادمین به‌صورت دستی گزینه
  “Allow administrative login using FortiCloud SSO”
  را غیرفعال کند

در عمل، بسیاری از سازمان‌ها بدون آگاهی، SSO را فعال نگه داشته‌اند.

الگوی حمله مشاهده‌شده

در حملات واقعی شناسایی‌شده:

• ورود مخرب از طریق SSO

• هدف اصلی: اکانت admin

• IPها متعلق به ارائه‌دهندگان هاستینگ خاص از جمله:

  • The Constant Company LLC

  • BL Networks

  • Kaopu Cloud HK Limited

پس از ورود موفق:

• پیکربندی کامل دستگاه از طریق GUI

• به همان IPها استخراج (Export) شده است

📌 یعنی دستیابی کامل به تنظیمات فایروال

چرا این مرحله خطرناک است؟

Arctic Wolf هشدار می‌دهد:

• اگرچه پسوردها معمولاً هش‌شده ذخیره می‌شوند

• اما:

  • هش‌ها قابل کرک آفلاین هستند

  • مخصوصاً اگر رمزها ضعیف یا قابل حدس باشند

در نتیجه:

• مهاجم می‌تواند به Credentialهای واقعی برسد

• حمله به سایر تجهیزات یا شبکه داخلی را گسترش دهد

توصیه‌های فوری دفاعی

در شرایط اکسپلویت فعال، اقدامات زیر فوری توصیه می‌شود:

1️⃣ پچ فوری همه محصولات Fortinet آسیب‌پذیر
2️⃣ غیرفعال‌سازی FortiCloud SSO تا زمان به‌روزرسانی
3️⃣ محدودسازی دسترسی به:

• Management Interface

• VPN

• Firewall GUI

4️⃣ بررسی IoCهای مرتبط با کمپین
5️⃣ در صورت مشاهده نشانه نفوذ:

• فرض بر compromise

• تغییر تمام credentialها

• Reset هش‌های ذخیره‌شده در کانفیگ

جمع‌بندی تحلیلی Vulnerbyte

این رخداد یک پیام واضح دارد:

• SAML ≠ امن به‌صورت پیش‌فرض

• Edge Deviceها هدف اول مهاجمان هستند

• تنظیمات ثبت اولیه (Onboarding) می‌توانند حمله‌پذیرترین نقطه باشند

احراز هویت SAML SSO به اشتباه پیکربندی‌شده = درِ باز فایروال

منابع: