هجوم Fortinet FortiGate
كيف يخترق الهاكرز الشبكات من بوابة Firewall وVPN؟
- حدّث FortiOS على كل أجهزة FortiGate، ولا تترك الأجهزة على إصدارات قديمة.
- أغلق واجهة الإدارة من الإنترنت أو قيّدها بعناوين IP موثوقة.
- فعّل MFA على حسابات الإدارة وSSL VPN.
- راجع سجلات VPN وAdmin Login بحثا عن دخول غريب أو محاولات فاشلة كثيرة.
- دوّر كلمات مرور Admin وLDAP وRADIUS وVPN إذا كان في أي شك بتسريب الإعدادات.
مقدمة
خلال السنوات الماضية تغيرت طريقة الهجمات الكبيرة على الشركات. في الماضي كان المهاجم يبحث عن سيرفر مكشوف أو تطبيق ويب فيه ثغرة واضحة. اليوم أصبح الهدف المفضل هو أجهزة الحافة Edge Devices: Firewall، VPN Gateway، Router، Remote Access Appliance، وأي جهاز يقف بين الإنترنت والشبكة الداخلية. السبب بسيط: هذه الأجهزة موجودة على الباب، وإذا تم اختراق الباب، يصبح الطريق إلى الداخل أسهل بكثير.
القصة المتداولة حول Fortinet FortiGate تقول إن مجموعة هاكرز منسوبة لروسيا استهدفت عددا ضخما من أجهزة FortiGate حول العالم، وجمعت أجهزة مكشوفة على الإنترنت، ثم استخدمت محاولات تسجيل دخول آلية وسرعة عالية لاختبار كلمات مرور، وبعدها سرقت بيانات VPN وإعدادات تساعد على الحركة الجانبية داخل الشبكات. بعض الروايات تحدثت عن 74 ألف جهاز في 194 دولة، وعن ضحايا من حكومات وشركات دفاعية. هذه أرقام ضخمة، ويجب التعامل معها بحذر حتى تظهر تقارير رسمية أو تحقيقات مستقلة تؤكدها بالتفصيل.
لكن حتى لو لم تثبت كل الأرقام، فالرسالة التقنية صحيحة وخطيرة: جهاز الجدار الناري ليس صندوقا ننساه بعد تركيبه. FortiGate أو غيره من أجهزة الحماية قد يتحول من حارس للشبكة إلى منصة مراقبة للمهاجم إذا كانت الإدارة مكشوفة، أو كلمات المرور ضعيفة، أو التحديثات متأخرة، أو MFA غير مفعل، أو إعدادات VPN تحتوي أسرارا لم تتم حمايتها بشكل صحيح.
ما الذي حدث في هجمات FortiGate؟
حسب الرواية المتداولة، بدأ المهاجمون بعملية مسح واسعة للإنترنت للبحث عن أجهزة Fortinet FortiGate المكشوفة، خصوصا الأجهزة التي تملك واجهات إدارة أو خدمات VPN يمكن الوصول إليها من الخارج. هذه الخطوة ليست جديدة في عالم الهجمات، لكنها أصبحت أخطر لأن أجهزة Edge تكون غالبا متصلة مباشرة بالإنترنت وتملك رؤية واسعة على الشبكة.
بعد تحديد الأهداف، انتقل المهاجمون إلى مرحلة اختبار بيانات الدخول. الحديث يدور عن محاولات آلية ضخمة لاختبار أسماء مستخدمين وكلمات مرور على نطاق واسع. في بعض الروايات، قيل إن البنية كانت قادرة على تنفيذ عشرات الآلاف من المحاولات بالتوازي. مرة أخرى، لا نحتاج الرقم الدقيق لفهم الخطورة: أي جهاز Firewall يسمح بمحاولات تسجيل دخول كثيرة من الإنترنت بدون MFA وبدون Rate Limiting وبدون تقييد IP يصبح نقطة ضعف كبيرة.
عند نجاح الدخول، لا يصبح FortiGate مجرد جهاز واحد مخترق. هو جهاز يرى سياسات الشبكة، VPN، المستخدمين، العناوين الداخلية، قواعد الوصول، وربما تكاملات LDAP أو RADIUS أو SAML. لذلك المهاجم لا يرى الباب فقط، بل يرى خريطة البيت من الداخل.
ما المؤكد وما غير المؤكد؟
في المقالات الأمنية، خصوصا عندما تكون القصة متداولة بأرقام ضخمة، يجب التفريق بين ما تؤكده مصادر عامة موثوقة وما لا يزال منسوبا للتقارير أو المنشورات المتداولة. هذه نقطة مهمة حتى لا يتحول المقال إلى تضخيم غير دقيق.
| النقطة | الحالة | التفسير |
|---|---|---|
| استهداف أجهزة Edge مثل VPN وFirewalls | مؤكد كاتجاه عام | تقارير مثل Amazon Threat Intelligence تحدثت عن انتقال جهات مدعومة من روسيا لاستهداف أجهزة Edge وسوء الإعدادات |
| استهداف Fortinet وFortiGate تحديدا | مؤكد في عدة حملات | تقارير متعددة في 2025 و2026 تحدثت عن ثغرات FortiGate وسرقة إعدادات وبيانات اعتماد |
| سرقة إعدادات الجدار الناري وبيانات VPN | مؤكد كخطر موثق | تقارير Arctic Wolf وTechRadar أشارت إلى أن سرقة إعدادات Firewall تكشف الشبكة وVPN وآليات المصادقة |
| رقم 74 ألف جهاز و194 دولة | منسوب للتقارير المتداولة | لم يظهر لي تأكيد رسمي عام مباشر لهذه الأرقام حتى تاريخ كتابة المقال |
| استخدام 45 GPU لكسر كلمات المرور | منسوب للرواية المتداولة | الفكرة ممكنة تقنيا، لكن الرقم المحدد يحتاج مصدر تحقيق واضح |
لماذا يركز الهاكرز على أجهزة Firewall وVPN؟
أجهزة Edge جذابة جدا للمهاجمين لأنها تجمع ثلاث ميزات خطيرة: مكشوفة على الإنترنت، موثوقة داخل الشركة، وقريبة من بيانات الاعتماد. جهاز Firewall ليس مجرد فلتر باكيتات. في كثير من الشركات هو أيضا VPN Gateway، بوابة SSL VPN، نقطة ربط مع LDAP أو RADIUS، ومكان توجد فيه قواعد تسمح وتمنع وتكشف بنية الشبكة.
عندما ينجح المهاجم في الوصول إلى جهاز Edge، قد يستطيع معرفة عناوين الشبكات الداخلية، أسماء المستخدمين، سياسات VPN، مسارات Routing، عناوين السيرفرات الحساسة، وربما إعدادات تكامل مع Active Directory. هذه المعلومات وحدها تكفي لبناء خريطة هجوم دقيقة، حتى قبل تنفيذ أي حركة جانبية.
Amazon Threat Intelligence أشارت في تقريرها إلى أن جهات مدعومة من روسيا بدأت تفضل استغلال سوء إعدادات أجهزة Edge بدلا من الاعتماد دائما على ثغرات Zero-day. السبب واضح: لماذا يبحث المهاجم عن ثغرة معقدة إذا كان يستطيع الوصول من واجهة إدارة مكشوفة، كلمة مرور ضعيفة، أو جهاز لم يتم تحديثه؟
يعرف قواعد المرور، الشبكات الداخلية، NAT، وربط الفروع والسحابة.
يربط الموظفين عن بعد بالشبكة، وغالبا يتكامل مع LDAP أو MFA أو RADIUS.
إذا كانت مكشوفة للإنترنت، تصبح هدفا مباشرا للـ Brute Force والثغرات.
قد يحتوي خريطة الشبكة، حسابات، Hashes، مفاتيح، وسياسات حساسة.
كيف تسير سلسلة الهجوم تقنيا؟
بدون الدخول في خطوات تنفيذية أو أدوات هجومية، يمكن تلخيص السلسلة التقنية للهجوم بهذا الشكل:
- استكشاف الإنترنت: البحث عن أجهزة FortiGate أو بوابات VPN مكشوفة.
- اختبار الدخول: تجربة بيانات اعتماد مسربة أو ضعيفة أو استخدام ثغرة مصادقة إن كانت موجودة.
- الدخول إلى جهاز Edge: الوصول إلى واجهة الإدارة أو استخراج الإعدادات.
- جمع معلومات الشبكة: معرفة VPN Users، LDAP، Subnets، Routing، Firewall Rules، وطرق الاتصال الداخلية.
- تحليل بيانات الاعتماد: محاولة الاستفادة من Hashes أو Config Secrets أو كلمات مرور مستخدمة أكثر من مرة.
- الحركة الجانبية: استخدام الحسابات أو VPN للوصول إلى أنظمة داخلية مثل AD وFile Servers وERP.
- سرقة البيانات: الوصول إلى ملفات ووثائق حساسة أو أنظمة شريكة وموردين.
لماذا سرقة إعدادات FortiGate خطيرة؟
كثير من الناس يظنون أن أخطر شيء هو أن يدخل المهاجم إلى الجدار الناري ويغير قاعدة Firewall Rule. هذا خطر فعلا، لكنه ليس الخطر الوحيد. أحيانا مجرد سرقة ملف الإعدادات تكون كارثة، لأن الإعدادات تكشف تفاصيل لا يجب أن يراها أحد خارج فريق الشبكات.
إعدادات FortiGate قد تكشف أسماء Interfaces، شبكات LAN وDMZ، عناوين السيرفرات، VPN Portals، Authentication Servers، Local Admins، Policies، Static Routes، وربما معلومات عن تكاملات LDAP/RADIUS/SAML. في بعض الحالات، قد تحتوي الإعدادات على أسرار أو Hashes أو مؤشرات تساعد على كسر كلمات المرور أو إعادة استخدام بيانات اعتماد داخلية.
لهذا السبب قالت تقارير أمنية إن سرقة Firewall configuration تعطي المهاجم خريطة الشبكة وآليات المصادقة، وتسمح له بتجاوز بعض الضوابط أو التحرك عبر VPN أو علاقات الثقة مع فروع وشركات شريكة.
ما قصة كسر كلمات مرور VPN؟
في الرواية المتداولة، بعد سرقة بيانات مرتبطة بالـ VPN، استخدم المهاجمون عتادا قويا لكسر كلمات المرور أو تخمينها بسرعة عالية. الفكرة هنا ليست غريبة في عالم الأمن: عندما يحصل المهاجم على Hashes أو أسرار مشفرة، يمكنه محاولة كسرها خارج الشبكة باستخدام كروت شاشة GPU، لأن GPU ممتاز في العمليات الحسابية المتكررة.
الخطر الأكبر أن كلمات المرور داخل الشركات غالبا تتشابه. إذا كانت سياسة الشركة تسمح بكلمات مثل اسم الشركة + سنة + رمز، أو إذا كان الموظفون يعيدون استخدام كلمات المرور بين VPN وEmail وتطبيقات داخلية، فإن كل كلمة مرور يتم كشفها تساعد المهاجم على تخمين كلمات أخرى. لذلك لا يكفي أن تكون كلمة المرور طويلة قليلا؛ يجب أن تكون فريدة، عشوائية، ومدعومة بMFA.
التأثير على الشركات والحكومات
إذا كان الضحية شركة عادية، فاختراق FortiGate قد يؤدي إلى سرقة ملفات، تعطيل خدمات، ابتزاز، أو دخول إلى أنظمة محاسبة وERP. إذا كان الضحية شركة دفاعية أو متعاقدة مع جهة حكومية، يصبح الخطر أكبر بكثير: وثائق مشاريع، مخططات، عقود، بيانات موظفين، وربما معلومات تخص أطرافا ثالثة.
خطورة هجمات Edge أنها لا تتوقف عند الشركة الأولى. إذا كان جهاز VPN يربط الشركة بفرع أو مورد أو شريك، فقد يتحول الاختراق إلى سلسلة Supply Chain. المهاجم يبدأ من جهاز واحد، ثم ينتقل إلى شبكة مرتبطة، ثم إلى حسابات بريد أو ملفات مشتركة أو أنظمة إدارة.
لذلك أي مؤسسة تستخدم Fortinet FortiGate يجب أن تسأل نفسها: هل نعرف كل أجهزة FortiGate المكشوفة؟ هل الإدارة مقيدة؟ هل VPN عليه MFA؟ هل تم تدوير كلمات المرور بعد آخر ثغرة؟ هل راقبنا سجلات تسجيل الدخول؟ وهل نملك خطة إذا اكتشفنا أن الإعدادات تسربت؟
علامات الاختراق التي يجب مراقبتها
إذا كنت تدير FortiGate، هذه مؤشرات لا تعني وحدها اختراقا مؤكدا، لكنها تستحق التحقيق:
- محاولات تسجيل دخول كثيرة وفاشلة على SSL VPN أو واجهة الإدارة.
- تسجيل دخول ناجح من دولة أو ASN غير معتاد.
- إنشاء حساب Admin جديد أو تعديل صلاحيات حساب موجود.
- تصدير أو تحميل إعدادات الجهاز في وقت غير معروف.
- تغييرات في Firewall Rules أو VPN Portals أو LDAP/RADIUS settings.
- اتصالات VPN خارج ساعات العمل أو من عناوين IP غير مألوفة.
- ظهور Packet Capture أو أدوات مراقبة غير متوقعة على جهاز Edge.
- حركة جانبية من FortiGate أو Subnet الإدارة باتجاه Domain Controllers أو File Servers.
خطوات الحماية والتخفيف
إذا كانت شركتك تستخدم Fortinet FortiGate، لا تنتظر أن يظهر اسم شركتك في تسريب. ابدأ بهذه الإجراءات العملية:
- حدّث FortiOS فورا: راجع إصدار FortiOS، واتبع نشرات Fortinet الأمنية، ولا تترك الأجهزة على إصدارات قديمة.
- قيّد واجهة الإدارة: لا تجعل Admin GUI أو SSH مكشوفين لكل الإنترنت. استخدم Trusted Hosts أو VPN إدارة أو Bastion Host.
- فعّل MFA: MFA يجب أن يكون على Admin Access وSSL VPN، خصوصا للحسابات ذات الصلاحيات العالية.
- غيّر كلمات المرور الحساسة: إذا شككت في تعرض الجهاز أو إعداداته للتسريب، دوّر كلمات مرور Admin وLDAP وRADIUS وVPN.
- راجع الحسابات المحلية: ابحث عن حسابات Admin جديدة أو غير موثقة أو حسابات لم يعد لها مالك.
- راجع إعدادات FortiCloud SSO: إذا كانت البيئة متأثرة بثغرات SSO، اتبع إرشادات Fortinet والتحديثات المناسبة.
- راقب سجلات VPN: ابحث عن محاولات دخول متكررة، دول غريبة، أو جلسات طويلة غير مفهومة.
- لا تثق بالجهاز فقط: راقب السيرفرات خلف FortiGate أيضا، لأن الاختراق قد يكون انتقل للداخل.
- افحص التسريبات: راجع إن كانت بيانات الشركة أو حسابات VPN ظهرت في تسريبات أو Dark Web Monitoring.
- جهز Incident Response: إذا وجدت مؤشرات اختراق، اعزل الجهاز، خذ نسخة من السجلات، وابدأ تدوير الأسرار والحسابات.
خطة عمل لفريق IT
هذه خطة مختصرة يمكن تنفيذها خلال أسبوع:
| الوقت | الإجراء | الهدف |
|---|---|---|
| اليوم الأول | حصر كل أجهزة FortiGate وFortiManager وواجهات VPN المكشوفة | معرفة نطاق الخطر بدلا من التخمين |
| اليوم الأول | تحديث الأجهزة وإغلاق الإدارة من الإنترنت | تقليل سطح الهجوم فورا |
| 48 ساعة | مراجعة الحسابات، VPN logs، وسجل تصدير الإعدادات | البحث عن مؤشرات دخول سابق |
| 72 ساعة | تدوير كلمات مرور Admin وLDAP/RADIUS/VPN الحساسة | إبطال أي أسرار ربما تسربت |
| أسبوع | تفعيل MFA، Trusted Hosts، مراقبة SIEM، واختبار استجابة حادث | تحويل الحماية من رد فعل إلى نظام مستمر |
Best Practices لتأمين FortiGate
- لا تعرض واجهة الإدارة للإنترنت: حتى لو كانت بكلمة مرور قوية، اجعل الوصول من IPs محددة أو عبر VPN إدارة.
- استخدم حسابات منفصلة: لا تجعل حساب Admin واحدا مشتركا بين الفريق.
- فعّل MFA على الإدارة والVPN: خصوصا للمستخدمين الخارجيين والمسؤولين.
- استخدم Password Manager: كلمات مرور طويلة وفريدة لكل جهاز وخدمة.
- راجع Backups: خزّن نسخ الإعدادات بشكل مشفر، ولا تتركها على مشاركة ملفات عامة.
- راقب التغييرات: أي تعديل في Policies أو VPN أو Admins يجب أن يظهر في تنبيه.
- افصل صلاحيات الشبكة: لا تسمح لمستخدم VPN عادي بالوصول لكل الشبكة.
- راقب من الداخل أيضا: إذا اخترق المهاجم FortiGate، قد يظهر الأثر على Domain Controller أو File Server قبل أن يظهر على الجدار الناري.
الأخطاء الشائعة
- تركيب FortiGate ثم نسيانه: الجدار الناري يحتاج تحديثات ومراجعة مستمرة.
- فتح الإدارة من كل الإنترنت: هذه من أخطر العادات في أجهزة Edge.
- الاعتماد على كلمة مرور فقط: بدون MFA، كلمة مرور واحدة مسروقة قد تكفي للدخول.
- عدم تدوير كلمات مرور LDAP وVPN بعد اختراق مشتبه: إذا تسربت الإعدادات، اعتبر الأسرار مكشوفة.
- عدم مراجعة السجلات: كثير من الهجمات تترك آثارا، لكن لا أحد يقرأها.
- استخدام حسابات مشتركة: عندما يستخدم الجميع نفس Admin، يصبح التحقيق صعبا جدا.
- التركيز على FortiGate فقط: بعد الاختراق، يجب فحص Active Directory والسيرفرات الداخلية أيضا.
FAQ
هل تم اختراق 74 ألف جهاز Fortinet فعلا؟
هذا الرقم متداول في بعض الروايات، لكن لم يظهر لي تأكيد رسمي عام مباشر له وقت كتابة المقال. الأهم أن استهداف FortiGate وأجهزة Edge وسرقة الإعدادات والاعتمادات خطر موثق في تقارير متعددة.
هل المشكلة في Fortinet فقط؟
لا. Fortinet هدف مهم بسبب انتشار FortiGate، لكن نفس الفكرة تنطبق على Cisco وPalo Alto وCheck Point وSonicWall وUbiquiti وغيرها. أي Edge Device مكشوف أو غير محدث قد يصبح مدخلا للشبكة.
ما أخطر شيء يمكن سرقته من FortiGate؟
إعدادات الجهاز، حسابات الإدارة، بيانات VPN، تكاملات LDAP/RADIUS، قواعد Firewall، وخريطة الشبكة. هذه المعلومات تساعد المهاجم على الحركة الجانبية والوصول إلى أنظمة داخلية.
هل تغيير كلمة مرور FortiGate يكفي؟
لا. يجب أيضا تحديث FortiOS، تفعيل MFA، تقييد الوصول الإداري، تدوير كلمات مرور LDAP/VPN، ومراجعة السجلات والسيرفرات الداخلية بحثا عن آثار حركة جانبية.
ما أول إجراء إذا شككت أن FortiGate مخترق؟
اعزل الإدارة عن الإنترنت، احفظ السجلات، راجع الحسابات والتغييرات، حدّث الجهاز، دوّر الأسرار، وافحص Active Directory والسيرفرات خلف الجدار الناري.
هل MFA يحل المشكلة بالكامل؟
لا يحل كل شيء، لكنه يقلل بشكل كبير من خطر كلمات المرور المسروقة. يجب دمجه مع التحديثات وتقييد الإدارة والمراقبة المستمرة.
الخاتمة
قصة Fortinet FortiGate، سواء ثبتت كل أرقامها المتداولة أو لم تثبت، تلخص درسا مهما جدا: أخطر نقطة في الشبكة قد تكون الجهاز الذي تثق به أكثر من غيره. Firewall وVPN ليسا مجرد أدوات حماية، بل أجهزة حساسة تحمل خريطة الوصول للشركة كلها.
لذلك لا تتعامل مع FortiGate كصندوق مغلق. حدّثه، راقب سجلاته، قلل من سطح ظهوره على الإنترنت، فعّل MFA، ودوّر بيانات الاعتماد عند أي شك. إذا تم اختراق جهاز Edge، لا تبحث فقط داخله، بل افترض أن المهاجم ربما بدأ يتحرك داخل الشبكة.
خلاصة كمبيوترجي: حماية الشبكة لا تبدأ من السيرفرات، بل من الباب. وإذا كان الباب مكشوفا أو ضعيف كلمة المرور أو غير محدث، فكل ما خلفه يصبح في خطر.