هشدار فوری؛ دو رخنه Fortinet زیر آتش واقعی

هشدار فوری؛ دو رخنه Fortinet زیر آتش واقعی
دو آسیب‌پذیری بحرانی Fortinet با دورزدن احراز هویت از مسیر FortiCloud SSO در عمل اکسپلویت شده‌اند و مهاجم به سطح ادمین می‌رسد.

گزارش‌های میدانی نشان می‌دهد دو رخنه بحرانی Fortinet با شناسه‌های CVE-2025-59718 و CVE-2025-59719 به‌صورت فعال در اینترنت اکسپلویت می‌شوند. سناریو حمله بر پایه پیام SAML دست‌کاری‌شده و نقص در اعتبارسنجی امضای رمزنگاری است که می‌تواند به عبور بدون احراز هویت و سپس دسترسی مدیریتی منتهی شود. مشاهدات Arctic Wolf از ورودهای مخرب و سپس Export کردن فایل پیکربندی (Configuration) حکایت دارد؛ فایلی که معمولاً شامل داده‌های حساس، سیاست‌های امنیتی و حتی رمزهای عبور هش‌شده است. توصیه عملی، ارتقا فوری به نسخه‌های اصلاح‌شده، غیرفعال‌سازی موقت «Administrative login via FortiCloud SSO» در صورت فعال بودن، محدودسازی دسترسی رابط مدیریتی به شبکه‌های مورد اعتماد و در صورت مشاهده IOCها، فرض افشای اعتبارنامه‌ها و بازنشانی آن‌هاست. 

در هفته سوم دسامبر ۲۰۲۵، یک هشدار عملیاتی جدی برای تیم‌های امنیت و عملیات شبکه منتشر شد: دو آسیب‌پذیری بحرانی در محصولات Fortinet با شناسه‌های CVE-2025-59718 و CVE-2025-59719، نه‌فقط «قابل سوءاستفاده»، بلکه «در حال سوءاستفاده» گزارش شده‌اند؛ یعنی فاصله بین افشا و بهره‌برداری واقعی، به یک بازه بسیار کوتاه عملیاتی تبدیل شده است. اهمیت این پرونده در این است که سطح هدف، تجهیزات پیرامونی (Perimeter) و زیرساخت‌های حیاتی سازمان‌هاست؛ تجهیزاتی که معمولاً در لبه شبکه قرار دارند، اینترنت‌فیسینگ هستند، و شکست آن‌ها می‌تواند به شکست زنجیره‌ای کنترل‌های دفاعی منجر شود. 

۱) ماهیت فنی رخنه‌ها: Auth Bypass با پیام SAML و نقص در اعتبارسنجی امضا

طبق گزارش‌های فنی منتشرشده، هر دو CVE به «اعتبارسنجی ناقص/نامناسب امضای رمزنگاری» در جریان ورود مبتنی بر SAML مرتبط هستند؛ مهاجم با ارسال یک پاسخ SAML دست‌کاری‌شده می‌تواند فرآیند احراز هویت را دور بزند و سیستم را متقاعد کند که درخواست‌کننده مجاز است. در عمل این یعنی یک مهاجم «بدون داشتن نام کاربری/گذرواژه معتبر» می‌تواند به نشست مدیریتی برسد؛ نقطه‌ای که معمولاً معادل دسترسی کامل به پیکربندی، سیاست‌ها، VPN، کاربران و مسیرهای روتینگ است. 

تفکیک دو CVE از منظر دامنه اثرگذاری به این شکل گزارش شده است:

  • CVE-2025-59718: روی FortiOS (به‌ویژه در FortiGate)، همچنین FortiProxy و FortiSwitchManager اثر دارد. 
  • CVE-2025-59719: به‌صورت مشخص روی FortiWeb (WAF) اثر دارد. 

NVD نیز برای هر دو شناسه، رکوردهای جداگانه دارد که نشان‌دهنده رسمیت و پیگیری ثبت آسیب‌پذیری در زنجیره استاندارد CVE است. 

۲) نکته عملیاتی مهم: «غیرفعال پیش‌فرض» اما «فعال‌شدن ناخواسته در رجیستریشن»

یک دام رایج در رخنه‌های هویتی این است که قابلیت آسیب‌پذیر ممکن است در حالت کارخانه/default غیرفعال باشد، اما در سناریوهای واقعیِ بهره‌برداری سازمانی فعال شود. در این پرونده نیز گزارش شده FortiCloud SSO در تنظیمات کارخانه غیرفعال است، ولی وقتی دستگاه از طریق GUI برای FortiCare ثبت می‌شود، اگر مدیر گزینه مرتبط با «Allow administrative login using FortiCloud SSO» را غیرفعال نکند، قابلیت می‌تواند فعال بماند. از منظر مدیریت ریسک، این یعنی بسیاری از سازمان‌ها ممکن است «بدون قصد قبلی» سطح حمله را باز کرده باشند. 

۳) شواهد بهره‌برداری: از ورود مخرب تا استخراج Configuration

طبق گزارش Arctic Wolf و بازتاب آن در رسانه‌های تخصصی، الگوی حمله‌ای که دیده شده به شکل زیر است:

  1. احراز هویت مخرب با استفاده از SSO/SAML و رسیدن به سطح ادمین.
  2. بلافاصله دانلود/Export فایل پیکربندی سیستم از طریق رابط مدیریتی.
  3. انتقال خروجی‌ها به IPهایی که به برخی ارائه‌دهندگان زیرساخت نسبت داده شده‌اند. 

چرا Export کانفیگ خطرناک است؟

چون در بسیاری از استقرارها، کانفیگ می‌تواند شامل مواردی مثل: ساختار شبکه و آبجکت‌های آدرس/سرویس، سیاست‌های Firewall و NAT، تنظیمات VPN و در برخی موارد داده‌های حساس عملیاتی، و «رمزهای عبور هش‌شده/رمزنگاری‌شده» باشد که اگر مهاجم به آن‌ها دسترسی پیدا کند، باید سناریوی «افشای اعتبارنامه» را محتمل دانست، حتی اگر فوراً قابل بازیابی نباشند.

۴) خط زمانی و واکنش نهادی: KEV و ضرب‌الاجل

در گزارش‌های منتشرشده آمده که CVE-2025-59718 به «فهرست KEV» اضافه شده و برای سازمان‌های دولتی ایالات متحده دستور فوری اصلاح تعیین شده است؛ رسانه‌های امنیتی به‌طور مشخص به تاریخ ۲۳ دسامبر ۲۰۲۵ به‌عنوان موعد اقدام اشاره کرده‌اند. (جزئیات دقیق سیاست‌گذاری، بسته به حوزه قضایی و الزامات داخلی متفاوت است؛ اما وجود الزام فوری، نشان‌دهنده سطح اضطرار و شدت بهره‌برداری است.) 

۵) چرا این پرونده برای بازار ایران «فوری‌تر» است؟

برای بسیاری از سازمان‌های ایرانی، از فروشگاه آنلاین و رسانه‌ها تا سایت B2B و مراکز داده، FortiGate و سایر تجهیزات Fortinet به‌عنوان ستون اصلی Perimeter Security استفاده می‌شوند. چند واقعیت عملیاتی این ریسک را تشدید می‌کند:

  • مدیریت تجهیزات لبه اغلب از راه دور انجام می‌شود و گاهی Interface مدیریتی به اینترنت نزدیک است.
  • به‌روزرسانی Firmware در تجهیزات شبکه معمولاً با احتیاط/تاخیر انجام می‌شود چون «Downtime» می‌دهد.
  • کنترل‌های جبرانی مثل محدودسازی IP مبدا برای مدیریت، در همه جا دقیق پیاده نشده است.

در نتیجه، رخنه‌ای که Auth Bypass می‌دهد، از آن دسته مواردی است که باید «بدون تعارف» در اولویت Patch قرار بگیرد؛ چون مهاجم با یک پرش، از بیرون به کنترل سطح‌بالای شبکه می‌رسد.

۶) اقدامات فوری پیشنهادی برای تیم فنی

اقدامات زیر بر اساس توصیه‌های منتشرشده و منطق Incident Response تنظیم شده و به ترتیب اولویت عملیاتی ارائه می‌شود:

۶.۱) کاهش سطح حمله تا قبل از ارتقا

  • اگر قابلیت FortiCloud SSO administrative login در سازمان شما فعال است یا احتمال فعال شدن آن وجود دارد، آن را موقتاً غیرفعال نمایید تا ریسک Auth Bypass کاهش یابد. 
  • دسترسی به Management Interface (GUI/SSH/HTTPS Admin) را صرفاً به IPهای داخلی/شبکه‌های مورد اعتماد محدود کنید (ACL/Trusted Hosts/Management Access Policy). 

۶.۲) Patch/Upgrade قطعی

  • نسخه‌های FortiOS/FortiProxy/FortiSwitchManager/FortiWeb را با شاخه(Version Line / Release Branch) دقیق محصول تطبیق دهید و به نسخه اصلاح‌شده ارتقا دهید. (این مرحله باید با Change Management انجام شود، اما فوریت آن بالاست.) 

۶.۳) شکار تهدید و بررسی نشانه‌های نفوذ

  • لاگ‌های مربوط به SSO/SAML و رخدادهای ورود ادمین را بازبینی کنید.
  • به هر نشانه‌ای از Export/Download کانفیگ حساس باشید؛ این عمل در موج بهره‌برداری گزارش شده است. 
  • اگر نشانه نفوذ دیدید: فرض را بر «افشای اعتبارنامه‌ها» بگذارید و Credential Reset را در برنامه پاسخ به رخداد قرار دهید. 

۶.۴) اقدامات پس از مهار

  • Rotate کردن Secretها/کلیدها، بازنگری سیاست‌های VPN، و اعتبارسنجی یکپارچگی Ruleها.
  • فعال‌سازی مانیتورینگ برای رویدادهای Admin Login و Configuration Export و تعریف Alert مستقل.

این پرونده یک نمونه کلاسیک از «ریسک هویت در لبه شبکه» است؛ جایی که یک نقص در اعتبارسنجی/اعتماد (Trust) می‌تواند تمام زنجیره کنترل‌های امنیتی را دور بزند. اگر تجهیزات Fortinet شما اینترنت‌فیسینگ است یا نقشی در زیرساخت حیاتی دارد، ترکیب «غیرفعال‌سازی موقت قابلیت حساس + محدودسازی مدیریت + ارتقای نسخه + بازنشانی اعتبارنامه‌ها در صورت IOC» باید به‌عنوان بسته اقدام فوری اجرا شود.

30 آذر 1404

3بازدید