هشدار Fortinet در رابطه با شناسایی یک آسیب پذیری بحرانی در FortiOS

شرکت Fortinet به‌ تازگی از شناسایی یک آسیب‌پذیری امنیتی بحرانی در محصولات خود خبر داده است که به مهاجمان اجازه می‌دهد بدون نیاز به احراز هویت، کنترل کامل دستگاه‌های آسیب‌پذیر را در دست بگیرند. این آسیب‌پذیری با شناسه CVE-2025-22252 در نسخه‌هایی از محصولات FortiOS، FortiProxy و FortiSwitchManager مشاهده شده است. این نقص امنیتی زمانی فعال می‌شود که سیستم‌ها با استفاده از پروتکل TACACS+ و روش احراز هویت ASCII پیکربندی شده باشند. در این شرایط، مهاجم می‌تواند با دور زدن فرآیند احراز هویت، مستقیماً به سطح دسترسی مدیریتی (admin) دست یابد و کنترل کامل سیستم را به ‌دست بگیرد. در این گزارش، فهرستی کامل از محصولات و نسخه‌های آسیب‌پذیر ارائه شده است.

جزئیات فنی و تأثیرات احتمالی

این آسیب‌پذیری خصوصاً زمانی خطرناک می‌شود که مهاجم به اطلاعات کاربری admin دسترسی داشته باشد. در چنین شرایطی، حتی بدون طی مراحل احراز هویت، امکان دسترسی کامل به سیستم همانند یک مدیر واقعی برای وی فراهم خواهد شد. طبق گفته کارشناسان امنیتی، بهره‌برداری از این نقص می‌تواند پیامدهای جدی از جمله تصرف تجهیزات حیاتی شبکه، دسترسی به اطلاعات حساس و ایجاد اختلال در خدمات سازمانی به ‌دنبال داشته باشد.