פורטינט מתמודדת עם חולשה במערכות שלה, השנייה בתוך שבועות

מערכות פורטינט נמצאות בסכנה, בשל חולשה נוספת שנחשפה במערך האימות שלה – כך דווח אמש (ב'). זאת, בתקופה שבה מומחי אבטחה מזהירים שמכשירי הקצה הפכו למשטח תקיפה פופולרי עבור ההאקרים.

הפגיעות ב-SSO מאפשרת לתוקפים שהשיגו התחברות ל-FortiCloud וברשותם מכשיר מנוהל לעקוף את מערך האימות, ואז להיכנס למכשירים מנוהלים אחרים ולחשבונות אחרים שאימות ה-SSO של השירות מופעל עליהם. הפגיעות החדשה סומנה כ-CVE-2026-24858. החולשה, המאפשרת ניצול מסוג יום אפס, היא קריטית, והתוקפים יכולים להיכנס באמצעותה לפיירוול FortiGate במהלך המתקפות.

פורטינט מסרה בתגובה לפגיעות כי היא נוצלה בשטח על ידי שני חשבונות FortiCloud זדוניים, לפני שאנשי החברה נעלו אותה ב-22 בינואר. החברה השביתה את ה-SSO בצד של FortiCloud ב-26 בינואר, והפעילה אותו מחדש ביום המחרת. כך היא בודדה את המכשירים שמריצים גרסאות פגיעות. מומחי אבטחה שיבחו את הפעלת ההשבתה וכינו אותה "מהלך דרמטי והכרחי".

פגיעות שמהדהדת לפגיעות אחרת

בינואר האחרון, כמה ארגונים, לקוחות פורטינט, חשפו כי התוקפים הצליחו להשיג גישה לפיירוול, על אף שהמכשירים הריצו את גרסאות FortiOS העדכניות. הפגיעות הוגדרה כקריטית וקיבלה דרגת חומרה עם ציון CVSS של 9.8. היא מסכנת, בפוטנציה, את FortiOS ,FortiManager ,FortiAnalyzer ,FortiProxy ו-FortiWeb.

פגיעות זו מהדהדת לאחרת, שנחשפה לפני שבועות אחדים. חוקרים מארקטיק וולף גילו אז יכולת חדירה בטכניקת פריצה שכוללת כניסות SSO זדוניות למכשירי FortiGate. שחקני איום בסייבר הצליחו לעקוף גם במקרה זה, באופן דומה, את אימות ההתחברות ל-SSO, ועשו זאת באמצעות הודעת SAML (ר"ת Security Assertion Markup Language). טכנולוגיה זו מאפשרת למשתמשים, וגם לתוקפים, להיכנס פעם אחת (כניסה יחידה, Single Sign-On – SSO) – תוך שימוש בערכת אישורים אחת, ואז לקבל, עם סט אישורים אחד, גישה למגוון אפליקציות ושירותים. זאת, בלא צורך בהזנת פרטי כניסה נפרדים לכל אחד מהיישומים.

פורטינט חשפה ותיקנה פגיעות זו, שתויגה כ-CVE-2025-59718, אולם דיווחים של משתמשים בקהילת האבטחה, שלא אומתו, ציינו שההתחברויות הזדוניות נמשכו, אפילו במכשירים שתוקנו. הדיווחים עוררו חששות כי התוקפים גילו מעקף לעדכון החולשה.

"פיירוולים ורשתות VPN מהווים מטרה לניצול אופורטוניסטי"

קרי שפר-פייג', סמנכ"לית ארקטיק וולף לתגובה לאירועים פורנזיים דיגיטליים, ציינה שהחוקרים הבחינו בדמיון בין החולשות והמתקפות המנצלות אותן. היא אמרה ל-SDxCentral: "שניהם משתמשים בנתיב האימות SSO, עם פעולות מעקב אוטומטיות ליצירת חשבונות משתמשים גנריים, והם עושים זאת לצורך בניית גישה עקבית ומתמידה. גם הדרך שבה ההאקרים מסירים את הפיירוול היא טיפוסית בשני המקרים".

שפר-פייג' הוסיפה כי "הקמפיינים מראים כיצד מכשירי קצה, כמו פיירוולים ורשתות VPN, מהווים מטרה לניצול אופורטוניסטי על ידי גורמי האיומים. זו מגמה יציבה שראינו בשנים האחרונות, ואנחנו צופים שהיא תימשך בעתיד הנראה לעין".

דיווח: יותר מ-10,000 פיירוולים של פורטינט נמצאים בסיכון

הבעיות ב-SSO של פורטינט מגיעות בסמיכות זמנים לדיווח מוקדם יותר, שלפיו יותר מ-10,000 פיירוולים של ענקית האבטחה נמצאים בסיכון. זאת, בשל עקב חולשה ישנה, שפוגעת ב-VPN SSL של FortiGate.

הפגיעות בפיירוול מאפשרת למשתמשים, וגם להאקרים, להתחבר מבלי שיבקשו מהם אימות דו שלבי (2FA) אם הם משנים את שם המשתמש שלהם. הגרסאות המושפעות מהחולשה הן FortiOS 6.4.0, 6.2.0 עד 6.2.3 ו-6.0.9. ההמלצה למשתמשים היא לשדרג לגרסאות חדשות יותר של מערכת ההפעלה של ענקית האבטחה.