بدأت الهجمات الإلكترونية تستهدف ثغرة أمنية شديدة الخطورة تم تصحيحها مؤخراً في نظام Fortinet FortiWeb، وذلك بالتزامن مع نشر كود تجريبي (PoC) يوضح طريقة استغلالها، ما أدى إلى اختراق عشرات الأنظمة.
الثغرة، التي تحمل الرقم CVE-2025-25257، حصلت على درجة خطورة بلغت 9.6 حسب تصنيف CVSS، وتُصنّف ضمن “حقن أوامر SQL”. وتتيح لمهاجمين غير مصادقين تنفيذ أوامر غير مصرّح بها على النظام من خلال إرسال طلبات HTTP أو HTTPS مصممة بعناية.
وأصدرت شركة Fortinet تصحيحاً أمنياً للثغرة بتاريخ 8 يوليو، مشيرة إلى أن الباحث Kentaro Kawane من شركة GMO Cybersecurity هو من قام بالإبلاغ عنها. وشملت التحديثات الإصدارات 7.6.4، 7.4.8، 7.2.11، و7.0.11، مع توصيات للمستخدمين بتطبيق التحديثات فوراً، أو تعطيل واجهة الإدارة عبر HTTP/HTTPS في حال تعذر التحديث الفوري.
في 11 يوليو، نشرت شركة watchTowr Labs تفاصيل تقنية للثغرة عبر مدونة، موضحةً أن الخلل يكمن في وظيفة لا تقوم بفلترة مدخلات المستخدم كما يجب. وبحسب التقرير، يمكن استغلال هذه الثغرة لكتابة ملف بصيغة (.pth) في مجلد site-packages ضمن الخادم، ما يتيح تنفيذ أوامر عن بُعد (RCE).
وعلى الرغم من أن Fortinet لم تشر إلى وجود استغلال نشط للثغرة عند إعلانها عن التحديث، فإن أولى محاولات الاستغلال تم رصدها مباشرة بعد نشر المدونة. وكشفت مؤسسة Shadowserver عن 85 حالة اختراق مؤكدة في 14 يوليو، تراجعت لاحقاً إلى 35 حالة في 17 يوليو، وأكدت أن المهاجمين زرعوا webshells على الأنظمة المصابة.
ويقدر عدد أجهزة FortiWeb المتصلة بالإنترنت بأكثر من 20 ألف جهاز، بحسب شركة Censys، إلا أن كثيراً منها لا يبدو أنه مكشوف بشكل مباشر. وتبقى النسخ الضعيفة التي لم تُحدث هي الهدف الرئيسي للهجمات.
ونظراً إلى حساسية FortiWeb كمكون يربط ويدير أجهزة ضمن منظومة Fortinet الأوسع، دعت الجهات المختصة المستخدمين إلى تحديث الأنظمة بشكل عاجل.
