في الآونة الأخيرة، رصد الباحثون في مجال الأمن السيبراني حملة تهديدات جديدة تستهدف أجهزة جدران الحماية من نوع فورتينت فورتينجيت عبر واجهات الإدارة المكشوفة على الإنترنت. وقد أثار هذا الهجوم قلقًا واسعًا في الأوساط الرقمية نظرًا لتداعياته المحتملة على الأمان السيبراني للشركات والمؤسسات.

تحليل مفصل وسياق الحملة

أوضحت شركة Arctic Wolf في تحليلها الأخير أن الحملة تتضمن تسجيلات دخول إدارية غير مصرح بها على واجهات إدارة جدران الحماية، وإنشاء حسابات جديدة، ومصادقة عبر شبكات افتراضية خاصة (SSL VPN) باستخدام هذه الحسابات. يُعتقد أن النشاط الخبيث بدأ في منتصف نوفمبر 2024، حيث تمكن مهاجمون مجهولون من الوصول غير المصرح به إلى واجهات الإدارة للأجهزة المتضررة لتغيير الإعدادات واستخراج بيانات الاعتماد باستخدام تقنية DCSync.

بالرغم من أن طريقة الوصول الأولية غير معروفة حاليًا، إلا أنه تم تقييمها بثقة عالية على أنها ناتجة عن استغلال ثغرة يوم الصفر، نظرًا للجدول الزمني المضغوط عبر المنظمات المتضررة وكذلك إصدارات البرامج الثابتة المتأثرة. تتراوح إصدارات البرامج الثابتة المتأثرة بين 7.0.14 و7.0.16، التي أُصدرت في فبراير وأكتوبر 2024 على التوالي.

مراحل الهجوم والتحديات الأمنية

شهدت الحملة أربع مراحل مميزة من الهجمات بدأت في 16 نوفمبر 2024، مما أتاح للمهاجمين الانتقال من فحص الثغرات والاستطلاع إلى تغيير الإعدادات والحركة الجانبية. ما يميز هذه الأنشطة عن الأنشطة الشرعية لجدران الحماية هو الاستخدام المكثف لواجهة jsconsole من عدد قليل من عناوين IP غير المعتادة، مما يشير إلى احتمال تورط عدة أفراد أو مجموعات في هذه الحملة.

تضمنت الاختراقات الرقمية تسجيل دخول المهاجمين إلى واجهات إدارة جدران الحماية لإجراء تغييرات في الإعدادات، بما في ذلك تعديل إعداد الإخراج من “قياسي” إلى “أكثر”، كجزء من جهود الاستطلاع الأولية، قبل إجراء تغييرات أكثر شمولاً لإنشاء حسابات مدير فائق جديدة في بداية ديسمبر 2024.

تُشير التقارير إلى أن هذه الحسابات الجديدة استخدمت لاحقًا لإنشاء ما يصل إلى ست حسابات مستخدم محلية جديدة لكل جهاز وإضافتها إلى مجموعات تم إنشاؤها مسبقًا بواسطة منظمات الضحايا للوصول إلى SSL VPN. في حوادث أخرى، تم اختطاف الحسابات الحالية وإضافتها إلى مجموعات توفر الوصول عبر الشبكات الافتراضية الخاصة.

تداعيات وتوصيات للأمان السيبراني

لاستغلال هذه الثغرات، يجب على المنظمات تجنب تعريض واجهات إدارة جدران الحماية للإنترنت وتقييد الوصول للمستخدمين الموثوق بهم فقط. لم تقتصر ضحايا هذه الحملة على قطاعات أو أحجام منظمات معينة، حيث أظهرت التنوع في ملفات تعريف الضحايا والطبيعة التلقائية للأحداث تسجيل الدخول والخروج، مما يشير إلى أن الاستهداف كان انتهازيًا بطبيعته وليس مستهدفًا بشكل متعمد ومنهجي.

فورتينت تؤكد وجود ثغرة يوم الصفر جديدة

نشرت فورتينت تفاصيل حول ثغرة جديدة في تجاوز المصادقة في FortiOS وFortiProxy (CVE-2024-55591) قالت إنها تُستخدم لاختراق جدران الحماية والشبكات المؤسسية. تم استغلال الثغرة من قبل جهات تهديد غير معروفة لإنشاء حسابات إدارية ومحلية، وتشكيل مجموعة مستخدمين جديدة أو إضافة مستخدمين محليين تم إنشاؤهم حديثًا لمجموعة مستخدمين SSL VPN قائمة، وإجراء تغييرات في سياسات جدران الحماية، مما يعكس النتائج التي توصلت إليها Arctic Wolf.

دعت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إلى إصلاح الثغرة بحلول 21 يناير 2025.

خاتمة وتساؤل للنقاش

مع تزايد تعقيد التهديدات السيبرانية، كيف يمكن للشركات والمؤسسات تعزيز دفاعاتها وتبني استراتيجيات استباقية لمواجهة مثل هذه الهجمات؟ تظل هذه القضية مفتوحة للنقاش، لا سيما في ظل التحديات المستمرة في المشهد السيبراني.