أصدرت شركة Fortinet تنبيهاً أمنياً حيال ثغرة برمجية حرجة في نظام إدارة المؤسسات FortiClient Enterprise Management Server المعروف اختصاراً بـ FortiClientEMS. ويُعد هذا النظام الركيزة الأساسية التي تعتمد عليها الشركات في إدارة سياسات الحماية للأجهزة الطرفية، ونشر برمجيات FortiClient، وضبط إعدادات الامتثال الأمني.
وتشير البيانات التقنية المتاحة إلى أن الثغرة تمنح المهاجمين غير المصرح لهم القدرة على تنفيذ أوامر برمجية أو تعليمات خبيثة على الخادم عبر الشبكة، مما يرفع من مستوى المخاطر، لا سيما في بيئات العمل التي تتيح الوصول إلى واجهة الإدارة عبر شبكة الإنترنت العامة.
تفاصيل الثغرة التقنية
تأتي الثغرة تحت الرمز المرجعي CVE-2026-21643 بتقييم CVSSv3 عند 9.8، وتُصنف ضمن فئة حقن أوامر SQL (SQL Injection) وفق معيار CWE-89. وتنشأ هذه الفجوة الأمنية نتيجة معالجة غير آمنة لمدخلات طلبات HTTP ضمن واجهة الإدارة الرسومية (GUI).
وأكد المحللون أن استغلالها لا يتطلب الحصول على صلاحيات مسبقة، ويهدد بشكل مباشر ركائز أمن المعلومات الثلاث: السرية، والسلامة، وتوافر الخدمات. ولا يزال سجل قاعدة بيانات الثغرات الوطنية (NVD) بانتظار استكمال التحليل النهائي، مع التأكيد الأولي على إمكانية الاستغلال عبر طلبات HTTP مصممة خصيصاً لتنفيذ تعليمات غير مصرح بها.
مسارات التحديث وتقليص مخاطر التعرض
تتركز قابلية التأثر بهذه الثغرة في الإصدار 7.4 من النظام. ووجه الخبراء توصية صريحة لمسؤولي النظم الذين يستخدمون النسخة 7.4.4 بضرورة الترقية الفورية إلى الإصدار 7.4.5 أو ما يليه. وفي المقابل، أكدت التقارير أن الإصدارات 8.0 و7.2 غير متأثرة بهذه الثغرة، كما لم تتأثر خدمة FortiEMS Cloud وفقاً للتحديثات الصادرة.
ورغم عدم وجود أدلة قاطعة على استغلال الثغرة في هجمات فعلية، علماً بأن اكتشافها تم داخلياً بواسطة فريق أمن المنتجات في Fortinet، إلا أن احتمالات الاستغلال ترتفع عادة عقب الكشف عن الإصلاحات، حيث يسارع المهاجمون إلى هندسة الثغرة عكسياً قبل إتمام عمليات التحديث في المؤسسات.
وتكتسب هذه الثغرة أهمية قصوى نظراً لموقع خادم FortiClientEMS كمركز إدارة حيوي؛ إذ يمثل اختراقه نقطة ارتكاز تسمح للمهاجمين بالتحرك داخل الشبكة الداخلية للمؤسسة. ويُذكر في هذا السياق نمط عملياتي رُصد في ثغرات سابقة للمنتج ذاته (مثل CVE-2023-48788)، حيث عمد المهاجمون بعد الاختراق إلى تثبيت أدوات إدارة عن بُعد مثل AnyDesk وScreenConnect لترسيخ وجودهم الرقمي.
إجراءات الاستجابة العاجلة
حدد الخبراء مجموعة من الخطوات العملية للحد من المخاطر:
- الترقية الفورية: الانتقال إلى الإصدار 7.4.5، مع توثيق التغييرات والتحقق من سلامة النظام بعد التحديث.
- حماية واجهة الإدارة: حصر الوصول إلى واجهة GUI عبر الشبكات الداخلية أو شبكات VPN، وإلغاء نشرها المباشر على الإنترنت، مع تفعيل قوائم التحكم بالوصول (ACLs).
- تدقيق السجلات: مراجعة سجلات طلبات HTTP بحثاً عن أنماط حقن مشبوهة أو استعلامات غير اعتيادية تستهدف مسارات واجهة EMS.
- رصد مؤشرات الاختراق: التحقق من وجود حسابات مستخدمين غير معروفة، أو مهام مجدولة مستحدثة، أو اتصالات صادرة غير مبررة من الخادم.
- الامتثال التنظيمي: مواءمة إجراءات المعالجة مع الضوابط الوطنية للأمن السيبراني، لضمان إدارة الثغرات وفق الأولويات المعتمدة.
