في 17 يونيو 2026 صارت مجموعة بيانات اعتماد علنية، وهو ما لم يكن ينبغي أن يفاجئ أحدًا، لكنه أفزع الجميع. وجد الباحث Volodymyr "Bob" Diachenko خادمًا مكشوفًا على الإنترنت يحتوي أسماء مستخدمين وعناوين بريد إلكتروني وكلمات مرور بنص صريح لعشرات الآلاف من جدران حماية Fortinet FortiGate. حصل Kevin Beaumont على المجموعة، وعمل عليها مع Hudson Rock، وأكّد الجزء الذي لم يرد أحد تأكيده: كانت بيانات الاعتماد صالحة. وسُمّيت الحملة FortiBleed.
الأرقام هي القصة. 73,932 عنوان URL فريدًا لأجهزة FortiGate عبر 194 دولة، مرتبطة بـ 21,632 نطاقًا، وهو ما يمثّل بحسب استطلاعات Shodan نحو نصف كل جدران حماية Fortinet المكشوفة حاليًا على الإنترنت العام. المؤسسات المكشوفة ليست هاوية: Foxconn وSamsung وComcast وSiemens وLenovo وFedEx وAccenture وOracle وPwC، فضلًا عن وكالات حكومية ومشغّلي بنى تحتية حرجة. تعرّضت أربع مؤسسات على الأقل لاختراق كامل، في اليابان وتايوان وفيتنام والعراق وتركيا، مع تنقّل المهاجمين من جهاز إلى جهاز داخل الشبكة. وأسوأ الحالات هو مقاول دفاع تركي من الباطن تابع لـ NATO جرى تهريب وثائق مصنّفة منه. ويُنسب النشاط إلى مجموعة إجرامية ناطقة بالروسية متعددة المشغّلين.
المفارقة تكتب نفسها. جدار الحماية، الجهاز الوحيد الذي يتمثّل غرضه بالكامل في إبقاء المتسللين عند المحيط، صار هو الباب المفتوح للمحيط.
ما الذي حدث فعليًا، تقنيًا
لا توجد هنا ثغرة جديدة، وهذا مهم. يعود حصاد البيانات إلى CVE-2022-40684، وهي ثغرة تجاوز المصادقة في FortiOS التي رقّعتها Fortinet في أكتوبر 2022 والتي جرى استغلالها على نطاق واسع قبل أن تطبّق معظم المؤسسات الإصلاح. ولم تزل بيانات الاعتماد المُستخرجة خلال موجة 2022 تلك تتداول منذ ذلك الحين في منتديات إجرامية خاصة. وFortiBleed هي ذلك المخزون، بعد تحديثه: اعترض المشغّلون مصادقة SSL-VPN، واستعادوا بصمات كلمات المرور، وكسروها على عنقود من 45-GPU مُنسَّق عبر Hashtopolis. ثم أعادوا تشغيل كلمات المرور المستعادة ضد أجهزة حية، مسجّلين 1.16 billion محاولة تسجيل دخول ضد 320,000 جهاز FortiGate و2.1 billion محاولة أخرى بالتوازي ضد 160,000 خادم Microsoft SQL، وساروا بالصالح منها وصولًا إلى Active Directory، الدليل الذي يحكم كل حساب Windows في المؤسسة.
ردّ Fortinet صحيح تقنيًا وخارج صلب الموضوع استراتيجيًا. تصف الشركة FortiBleed بأنها بيانات معاد تدويرها من حوادث سابقة مضافًا إليها القوة الغاشمة، لا ثغرة جديدة في منتجاتها. وهذا صحيح. لكن الأجهزة ما زالت متصلة، وكلمة مرور معاد تدويرها تفتح بابًا حقيقيًا طالما لم يغيّرها أحد. وفي أسطول كبير، ليس تدوير كل بيانات اعتماد VPN ومسؤول أمرًا يتم في طرفة عين، وهو السبب الكامل وراء رهان المهاجمين على أنها ما زالت تعمل. وقد كانوا على حق.
أي أطر تحكم هذا، وما الذي تطالب به
هذه ليست حاشية تقنية هامشية؛ إنها تقع في صميم ثلاثة أنظمة تخضع لها المؤسسات المتضررة أصلًا.
قانون الاتحاد الأوروبي للمرونة التشغيلية الرقمية (DORA) يُلزِم الكيانات المالية. ركيزته الخاصة بإدارة مخاطر تقنية المعلومات والاتصالات (المواد 5 إلى 15) تستلزم مصادقة قوية وضبطًا للوصول على نقاط الدخول عن بُعد (المادة 9) وقدرة استجابة للحوادث مُختبَرة ومدعومة بالأدلة (المادة 11). وDORA لا يقبل "لقد رقّعنا CVE 2022" بوصفه مرونة؛ بل يسأل عما إذا كان التعرّض المتبقي قد جرى تحديده وتقديره وحوكمته. ويغطي توجيه أمن الشبكات والمعلومات الثاني (NIS2) شريحة أوسع بكثير، تشمل الطاقة والنقل والتصنيع والبنية التحتية الرقمية والإدارة العامة، وتسمّي مادته 21 صراحةً المصادقة متعددة العوامل وضبط الوصول وإدارة الأصول بوصفها تدابير أساسية، مع مساءلة هيئات الإدارة شخصيًا بموجب المادة 20. أما ISO/IEC 27001:2022 فتؤطّر الضوابط نفسها بوصفها التزامات في الملحق A: A.5.17 (معلومات المصادقة) وA.8.5 (المصادقة الآمنة) وA.5.15 (ضبط الوصول) وA.8.9 (إدارة التهيئة). أما بالنسبة لمقاول الدفاع التابع لـ NATO، فتنطبق طبقة رابعة: التزامات أمن سلسلة توريد الدفاع التي يُعدّ بموجبها تهريب مواد مصنّفة حدثًا واجب الإبلاغ، على مستوى السيادة، لا مجرد خرق تجاري.
أي ضوابط أخفقت
انزع المقياس المثير للعناوين وتغدو FortiBleed قائمة قصيرة من المفاتيح المتروكة في وضع الإيقاف. كانت المصادقة متعددة العوامل للوصول عن بُعد غائبة أو ناقصة، وهي الضابط الوحيد الذي يجعل كلمة المرور المسروقة خاملة، الضابط الذي يفصل وجوده بين لاحدث وبين خرق. ولم يُفعَّل تدوير بيانات الاعتماد قط بعد اختراق 2022، فظلّت كلمات مرور تسرّبت قبل أربع سنوات تتم المصادقة بها في يونيو 2026. وتخلّفت نظافة الترقيع والتهيئة عن نافذة CVE-2022-40684 الأصلية مدة كافية لنجاح الحصاد. وكانت تجزئة الشبكة بين حافة الـ VPN وقلب Active Directory رقيقة أو غائبة، فحوّلت جهازًا واحدًا مخترقًا إلى حركة جانبية على مستوى النطاق بأكمله. وتحت كل ذلك، أخفقت رؤية الأصول: لم يكن لدى المؤسسات منظور موثوق وآني لأي من أجهزة FortiGate لديها كانت مكشوفة على الإنترنت، وبأي إصدار برنامج ثابت، وبأي حسابات وأي وضعية مصادقة. لا يمكنك التدوير ولا التجزئة ولا فرض المصادقة متعددة العوامل على تعرّض لا تراه.
ما الذي كانت ستغيّره أدوات CCI
لم يتطلّب أيٌّ من الضوابط الأربعة أعلاه فئة منتج جديدة. تطلّبت أن يكون التعرّض مرئيًا ومُسعَّرًا ومُثبَتًا باستمرار، وهي تحديدًا الفجوة التي تسدّها أدوات CCI.
كانت EviGen ستجيب عن السؤال الوحيد المهم قبل أن يطرحه المهاجمون: هل المصادقة متعددة العوامل مفروضة على كل حساب SSL-VPN ومسؤول، على كل جهاز، في هذه اللحظة؟ تجمع EviGen دليل التهيئة هذا آليًا عبر الأسطول وتحزمه بوعي بالإطار بوصفه القطعة المطلوبة بموجب المادة 9 من DORA والمادة 21 من NIS2 وA.8.5 من ISO، مُولَّدًا باستمرار لا مُعادًا بناؤه في حالة ذعر. وتغدو فجوة في تغطية المصادقة متعددة العوامل اكتشافًا مؤرَّخًا وموقَّعًا في الأسبوع الذي تنفتح فيه، لا اكتشافًا جنائيًا بعد التهريب.
كانت NetDiagramer سترسم المسار الذي سلكه المهاجمون فعلًا. فهي تخطّط مناطق جدار الحماية والاعتماديات عبر الطبقات انطلاقًا من جرد حي، مُبرزةً كل FortiGate مكشوف على الإنترنت، والأهم، المسار من حافة SSL-VPN إلى قلب Active Directory. إن التجاور المسطّح بين الحافة والنطاق الذي جعل أربع مؤسسات قابلة للاختراق الكامل هو بالضبط ما تكشفه طوبولوجيا مُولَّدة آليًا بموجب المادة 8 من DORA والمادة 21 من NIS2 بوصفه اكتشافًا لا مخطط تشريح.
كانت cVaR ستحوّل "بيانات اعتماد قديمة، على الأرجح لا بأس بها" إلى رقم بمستوى مجلس الإدارة. فبتطبيق FAIR ومحاكاة Monte-Carlo عبر جرد الأصول، تُسعّر سيناريو "إعادة تشغيل بيانات اعتماد VPN مكشوفة على الإنترنت والتمحور نحو AD" بوصفه منحنى تجاوز خسارة باليورو. إن تعرّضًا متبقيًا يُقرأ كقلق غامض في سجل مخاطر يُقرأ كقيمة معرّضة للخطر مشروطة على لوحة معلومات cVaR، واليوروات المتبقية يجري تدويرها حيث تُؤجَّل المخاوف المتبقية.
كانت DORA-MAST ستجعله سيناريو مُختبَرًا لا مفاجأة. فهي تُجري الاضطراب، إعادة استخدام بيانات الاعتماد على محيط الوصول عن بُعد، ضد النموذج، وتحسب أثر المرونة، وتدعم الاختبار بالأدلة بموجب برنامج الاختبار في المواد 24 إلى 31 من DORA، بما في ذلك مخاطر تركّز الطرف الثالث المتمثّلة في رهان المحيط بأكمله على مورّد أجهزة واحد.
تنبّأ بالتعرّض، سعّره، أثبت الضابط، تمرّن على الإخفاق. كان جرح 2022 قابلًا للمعرفة. وكانت بيانات الاعتماد المتسرّبة قابلة للمعرفة. وكانت فجوة المصادقة متعددة العوامل قابلة للمعرفة. لم تستغلّ FortiBleed ثغرة في كود Fortinet. بل استغلّت المسافة بين ضابط تملكه المؤسسة وضابط يمكن للمؤسسة أن تثبت أنه مُشغَّل. أغلق تلك المسافة ولن تفتح كلمة المرور المعاد تدويرها شيئًا.
إذا كان نطاقك على القائمة بالفعل: الحصول على المساعدة بسرعة
تصف الأدوات أعلاه وضعية تبنيها المؤسسة قبل الحادث. وبالنسبة لكثير من النطاقات المكشوفة البالغ عددها 21,632، ليست FortiBleed خطرًا مستقبليًا بل خطر حاضر، والسؤال الصادق هو ما العمل هذا الأسبوع. تنطبق هنا قدرتان متمايزتان من CCI، ويجدر التدقيق في ما تفعله كل منهما.
الأولى هي القيادة تحت الضغط. تعتمد خدمة مدير أمن المعلومات كخدمة من CCI على مجموعة من ثمانية ممارسين أو أكثر معتمدين بشهادة CISSP بخلفيات غير متداخلة عمدًا عبر المصارف والدفاع والاتصالات والطاقة. وبالنسبة لمؤسسة اكتشفت للتو بيانات اعتمادها في مجموعة FortiBleed، فإن الوضع المناسب هو التغطية المؤقتة أو عند الطلب: قائد أمني مسؤول يستطيع فرز التعرّض، وإحاطة مجلس الإدارة، والإجابة عن أسئلة جهة تنظيمية بموجب المادة 11 (DORA) أو المادة 23 (NIS2) بينما ينفّذ الفريق الداخلي عملية التدوير. نحن لا ندقّق حيث نقود، فيُصان ذلك الاستقلال بالتصميم.
والثانية هي سرعة الهندسة. إن من بنوا EviGen وNetDiagramer وcVaR وDORA-MAST ليسوا مورّدًا منفصلًا؛ بل هم فريق بحث وتطوير داخلي من أكاديميين وباحثين بمستوى الدكتوراه ومهندسي أمن. ويهمّ ذلك عمليًا لأن معالجة FortiBleed، على نطاق واسع، مشكلة أدوات: مطابقة أسطول FortiGate الكامل لمؤسسة ما مع قائمة النطاقات المكشوفة المنشورة، وفرض تدوير بيانات الاعتماد عبر مئات الأجهزة، ثم إثبات أن المصادقة متعددة العوامل مفروضة على كل حساب متبقٍ. وهذا بالضبط نوع أداة المعالجة المصمّمة خصيصًا التي يستطيع المهندسون أنفسهم إقامتها بسرعة، لأن الأساسيات الكامنة، ومنها استيعاب الجرد وجمع أدلة التهيئة وتخطيط الطوبولوجيا، موجودة أصلًا بوصفها منتجات مُسلَّمة لا عروضًا تقديمية. والتأطير الصادق هو قدرة، لا ساعة توقيت تعاقدية: الفريق الذي صنّع هذه الأساسيات في منتجات يستطيع تأليفها في أداة معالجة موجّهة أسرع بكثير من فريق يواجه المشكلة للمرة الأولى. وإذا بلغت FortiBleed أسطولك، فإن أسرع طريق إلى استجابة محدّدة النطاق هو أن تتحدّث إلى ممارس.
الجرح الذي لم يُغلَق قط
الدبور لا يتغيّر؛ المستعمرة تتغيّر. بيانات الاعتماد التي فقدها عملاء Fortinet في 2022 لم تكن لتنتهي صلاحيتها من تلقاء نفسها، لأن كلمات المرور لا تلتئم. وما تغيّر، بالنسبة لنصف الأسطول الذي ما زال مكشوفًا، هو لا شيء: الأجهزة نفسها، وكلمات المرور نفسها، والمسار المسطّح نفسه إلى النطاق. الإصلاح غير لامع وفي المتناول تمامًا. افرض المصادقة متعددة العوامل، ودوّر الآن، واعزل الحافة عن القلب، واحتفظ بدليل مستمر على أن الثلاثة جميعها صحيحة. يراهن المهاجمون على أنك ستقرأ هذا، وتومئ برأسك، وتؤجّله إلى الربع المقبل. لديهم سجلّ من أربع سنوات يثبت أنهم على حق في ذلك.
Acronyms
| الاختصار | المعنى (بالإنجليزية) | الترجمة العربية |
|---|---|---|
| AD | Active Directory | الدليل النشط (Active Directory) |
| CVE | Common Vulnerabilities and Exposures | الثغرات والانكشافات الشائعة |
| CVSS | Common Vulnerability Scoring System | النظام المشترك لتقييم خطورة الثغرات |
| DORA | Digital Operational Resilience Act | قانون الصمود التشغيلي الرقمي |
| FAIR | Factor Analysis of Information Risk | التحليل العاملي لمخاطر المعلومات |
| GPU | Graphics Processing Unit | وحدة معالجة الرسوميات |
| ICT | Information and Communication Technology | تقنية المعلومات والاتصالات |
| MFA | Multi-Factor Authentication | المصادقة متعددة العوامل |
| NIS2 | Network and Information Security Directive 2 | توجيه أمن الشبكات والمعلومات 2 |
| SSL-VPN | Secure Sockets Layer Virtual Private Network | الشبكة الخاصة الافتراضية بطبقة المقابس الآمنة |
References
- Lautier, V. (2026). 75 000 pare-feu Fortinet siphonnes: l'attaque FortiBleed touche la moitie du parc mondial. Korben. https://korben.info/75-000-pare-feu-fortinet-siphonnes-lattaque-fortibleed-touche-la-moitie-du-parc-mondial.html
- The Register (2026). Massive password-stealing attack hits 75K Fortinet firewalls. https://www.theregister.com/cyber-crime/2026/06/17/massive-password-stealing-attack-hits-75k-fortinet-firewalls/
- Help Net Security (2026). 74,000 Fortinet firewall credentials exposed in FortiBleed data leak. https://www.helpnetsecurity.com/2026/06/18/fortinet-fortibleed-data-leak/
- BleepingComputer (2026). FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices. https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
- CSO Online (2026). FortiBleed campaign exposes 75,000 Fortinet firewalls worldwide. https://www.csoonline.com/article/4186790/fortibleed-campaign-exposes-75000-fortinet-firewalls-worldwide.html
- Security Affairs (2026). FortiBleed: Admin Passwords for 75,000 Fortinet Firewalls. https://securityaffairs.com/193817/hacking/fortibleed-exposes-admin-passwords-for-75000-fortinet-firewalls.html
- CERT-EU (2024). Security Advisory 2024-018: Critical FortiOS SSL-VPN vulnerability (CVE-2024-21762). https://cert.europa.eu/publications/security-advisories/2024-018/
- European Union (2022). Regulation (EU) 2022/2554 (Digital Operational Resilience Act). https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- European Union (2022). Directive (EU) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj