يستغل المتسللون خطأً جديدًا في جدار الحماية Fortinet لاختراق شبكات الشركة

يقول باحثون أمنيون إن المتسللين الضارين يستغلون ثغرة أمنية تم اكتشافها حديثًا في جدران الحماية Fortinet لاقتحام شبكات الشركات والمؤسسات.

في تقرير استشاري نُشر يوم الثلاثاء، أكدت شركة تصنيع المنتجات الأمنية Fortinet أن الثغرة الأمنية ذات التصنيف الحرج في جدران الحماية FortiGate، والتي يتم تتبعها باسم CVE-2024-55591، “يتم استغلالها بشكل مباشر”.

قامت Fortinet بتوفير التصحيحات، لكن الباحثين الأمنيين حذروا من أن المتسللين كانوا يستغلون الثغرة الأمنية على نطاق واسع باعتبارها يوم الصفر – أي قبل أن تدرك Fortinet الثغرة الأمنية وتوفر الإصلاحات – منذ ديسمبر.

هذا هو أحدث مثال على استغلال المتسللين لثغرة أمنية في منتج أمني مؤسسي شائع مصمم لحماية شبكات الشركات من المتسللين. تصل أخبار خطأ Fortinet بعد أيام من الكشف عن أن المهاجمين يستغلون ثغرة يوم صفر منفصلة في خوادم Ivanti VPN التي تسمح بالوصول إلى شبكات العملاء.

قالت شركة الأمن السيبراني Arctic Wolf في تدوينة الأسبوع الماضي إن باحثيها لاحظوا حملة “استغلال جماعي” حديثة تؤثر على أجهزة جدار الحماية Fortinet FortiGate ذات واجهات الإدارة المكشوفة للإنترنت العام.

أكد ستيفان هوستلر، الباحث الرئيسي في استخبارات التهديدات في Arctic Wolf، لـ TechCrunch أن هذا الاستغلال الملحوظ مرتبط بالثغرة الأمنية CVE-2024-55591 المؤكدة حديثًا في جدران الحماية Fortinet.

أخبر Hostetler موقع TechCrunch أن Arctic Wolf “لاحظ مجموعة من عمليات الاقتحام التي أثرت على أجهزة Fortinet بالعشرات”، لكنه أشار إلى أن هذا لا يمثل سوى “عينة محدودة مقارنة بالعدد الفعلي الإجمالي للأجهزة التي من المحتمل أن تتأثر”.

وأضاف هوستيتلر: “تشير الأدلة إلى وجود محاولة لاستغلال عدد كبير من الأجهزة خلال فترة زمنية ضيقة”.

وعندما تواصلت معها TechCrunch، رفضت المتحدثة باسم Fortinet، تيفاني كورسي، تحديد عدد عملاء Fortinet الذين تعرضوا للاختراق نتيجة لحملة القرصنة هذه، لكنها قالت إن الشركة “تتواصل بشكل استباقي مع العملاء”.

ومن غير الواضح أيضًا من يقف وراء الهجمات على جدران الحماية Fortinet، لكن باحث الأمن السيبراني كيفين بومونت كتب على Mastodon أن الثغرة الأمنية “تحت الاستغلال من قبل مشغل برامج الفدية”.

قال Hostetler إن هجمات برامج الفدية التي تستغل الثغرة “ليست مستبعدة”، مشيرًا إلى أنه في بحث سابق، لاحظت Arctic Fox “الشركات التابعة لمجموعات برامج الفدية مثل Akira وFog تستخدم بعضًا من موفري الشبكات أنفسهم لإنشاء اتصال VPN”.

وفي بيان مقتضب يوم الثلاثاء، حثت CISA للأمن السيبراني الأمريكي عملاء Fortinet على تحديث أي أجهزة متأثرة.

في شهر سبتمبر، كشفت شركة Fortinet عن خرق يتعلق ببيانات العملاء بعد وصول أحد المهاجمين إلى “عدد محدود من الملفات” المخزنة على محرك أقراص سحابي مشترك تابع لجهة خارجية تابع للمؤسسة.