أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) أمراً عاجلاً للوكالات الفيدرالية بضرورة معالجة ثغرتين أمنيتين حرجتين في منصة فحص التهديدات FortiSandbox المطورة من Fortinet، وذلك بعد تأكيد استغلالهما الفعلي في هجمات إلكترونية. وحددت الوكالة يوم الأحد، الموافق 19 يوليو 2026، موعداً نهائياً لإتمام عمليات التصحيح، تنفيذاً لمقتضيات التوجيه التشغيلي الملزم (BOD 26-04) الذي يفرض معالجة الثغرات الأمنية فور إضافتها إلى كتالوج الثغرات المستغلة المعروفة (KEV).
تتمثل الثغرتان في CVE-2026-39808 وCVE-2026-25089، وتُصنفان ضمن فئة حقن أوامر نظام التشغيل. تكمن خطورة هاتين الثغرتين في سماحهما للمهاجمين غير المصرح لهم بتنفيذ تعليمات برمجية عن بُعد (RCE) على الأنظمة المتأثرة دون الحاجة إلى أي تفاعل من المستخدم. ومع أن شركة Fortinet كانت قد أصدرت تصحيحات أمنية لهاتين الثغرتين في 14 أبريل و9 يونيو من عام 2026 على التوالي، إلا أن تسارع وتيرة الاستغلال الفعلي دفع وكالة CISA إلى تسريع وتيرة المعالجة الإلزامية داخل المؤسسات الحكومية.
وتتوزع تفاصيل الثغرتين الفنية والإجراءات المطلوبة لمعالجتهما على النحو التالي:
تستهدف الثغرة الأولى CVE-2026-39808 واجهة برمجة التطبيقات (API) الخاصة بالمنصة عبر آلية حقن الأوامر، وتؤثر تحديداً على إصدارات FortiSandbox من الإصدار 4.4.0 إلى 4.4.8؛ وتتطلب معالجتها الترقية الفورية إلى الإصدار 4.4.9 أو أي إصدار أحدث.
أما الثغرة الثانية CVE-2026-25089، فتتمثل في حقن أوامر من الدرجة الثانية عبر واجهة المستخدم الرسومية، وتطال شريحة أوسع تشمل إصدارات FortiSandbox من 4.4.0 إلى 4.4.8، ومن 5.0.0 إلى 5.0.5، إلى جانب تأثر خدمات FortiSandbox Cloud وبيئات المنصة كخدمة (PaaS) في إصدارات محددة؛ ويتطلب علاجها ترقية الأنظمة إلى الإصدارات 4.4.9 أو 5.0.6 فما فوق. وقد أكدت كل من CISA وشركة الاستخبارات الأمنية Defused الاستغلال النشط والفعلي لكلتا الثغرتين.
أُدرجت هاتان الثغرتان في كتالوج KEV بعد رصد استغلالهما على أرض الواقع. وكانت شركة الاستخبارات الأمنية Defused قد حذّرت في 16 يونيو 2026 من رصد هجمات نشطة تستهدف عيوباً عدة في FortiSandbox، مشيرة إلى أن استغلال الثغرة CVE-2026-25089 تم عبر كود استغلال مولد بالذكاء الاصطناعي يرجح أنه يحتوي على أخطاء وعيوب فنية، وهو وصف لم تؤكده جهات مستقلة بعد.
وفي السياق ذاته، لم تصدر Fortinet حتى الآن تأكيداً رسمياً بوقوع هجمات تستهدف الثغرتين. ويضفي هذا التباين بين تأكيدات الوكالة الحكومية وتحفظ الشركة المصنعة نوعاً من الغموض حول نطاق الهجمات ودوافعها الحقيقية، وإن كان استناد CISA إلى معلومات استخباراتية كافياً لفرض تدابير الاستجابة السريعة.
ويأتي هذا التهديد ضمن سلسلة متزايدة من استهداف أجهزة Fortinet؛ إذ تتعقب CISA ما يصل إلى 28 ثغرة أمنية استُغلت فعلياً في منتجات الشركة على مدار السنوات الماضية، استُخدمت 13 ثغرة منها في هجمات فدية. وغالباً ما تمثل هذه الأجهزة البوابة الأولى لحملات التجسس الرقمي أو نشر البرمجيات الخبيثة.
وبموجب صلاحيات التوجيه الفيدرالي BOD 26-04، باتت جميع الوكالات المدنية ملزمة بإجراء فحص التحليل الجنائي الرقمي للمنصات المصابة وتطبيق الرقع الأمنية خلال ثلاثة أيام فقط من إدراج الثغرة في الكتالوج. حيث إن نجاح المهاجمين في استغلال هذه الثغرات يمنحهم سيطرة كاملة على منصة فحص التهديدات، ما يمهد الطريق لتعطيل آليات الدفاع الرقمي أو زرع أبواب خلفية يصعب تعقبها.
كما حثت CISA مؤسسات القطاع الخاص والجهات غير الفيدرالية على الإسراع بتطبيق تحديثات Fortinet الصادرة في أبريل ويونيو تفادياً لمخاطر الاستهداف الوشيك. ويمكن للمسؤولين الفنيين مراجعة النشرات الأمنية الرسمية ذات الرموز FG-IR-26-100 و FG-IR-26-141 للحصول على الإرشادات الفنية الكاملة للتحديث.







