رصدت شركة Defused لاستخبارات التهديدات محاولات لاستغلال ثلاث ثغرات أمنية في منصة FortiSandbox المطورة من شركة Fortinet. ويضع هذا التطور الأنظمة غير المحدثة أمام مخاطر مباشرة ترتبط بتجاوز آليات المصادقة وتنفيذ أوامر البرمجية غير المصرح بها.
وتشمل هذه التهديدات الثغرات (CVE-2026-39813 بتقييم CVSS عند 9.8) و(CVE-2026-39808 بتقييم CVSS عند 9.8) و(CVE-2026-25089 بتقييم CVSS عند 9.8)، والتي عالجتها Fortinet بالكامل عبر تحديثات أمنية سابقة. وتكمن خطورة هذه الاستهدافات في الدور الحيوي لمنصة FortiSandbox، المخصصة لتحليل الملفات والروابط المشبوهة، حيث تعتمد عليها منتجات أمنية متعددة داخل بيئة Fortinet لتحديد طبيعة التهديدات واتخاذ قرارات الحظر الآلي أو تفعيل استجابات الحماية.
تفاصيل الثغرات
ترتبط الثغرة CVE-2026-39813 بخلل من نوع اجتياز المسار في واجهة برمجة التطبيقات “JRPC API”، متيحاً لمهاجم غير مصادق تخطي صلاحيات التحقق عبر إرسال طلبات HTTP مصممة خصيصاً. ووفقاً للنشرة الأمنية الصادرة عن Fortinet في 14 أبريل 2026، فإن هذا الخلل يؤثر في إصدارات FortiSandbox من 5.0.0 إلى 5.0.5 ومن 4.4.0 إلى 4.4.8، وتوصي الشركة بالترقية الفورية إلى الإصدارين 5.0.6 و4.4.9 أو النسخ الأحدث.
أما الثغرة الثانية CVE-2026-39808، فتمثل خللاً في حقن الأوامر ضمن واجهة API، يتيح تنفيذ تعليمات برمجية أو أوامر غير مصرح بها عن بعد ودون مصادقة. وأوضحت Fortinet أن الإصدارات المتأثرة تنحصر بين FortiSandbox 4.4.0 و4.4.8، ويتطلب تأمينها الانتقال إلى الإصدار 4.4.9 أو ما يليه، مؤكدة أن إصدارات FortiSandbox 5.0 غير متأثرة بهذه الثغرة.
وفيما يخص الثغرة الثالثة CVE-2026-25089، فقد كشف عنها في 9 يونيو 2026، وتصنفها Fortinet بأنها حرجة للغاية. ويشمل تأثيرها واجهات الويب الخاصة بـ FortiSandbox وFortiSandbox Cloud وFortiSandbox PaaS، حيث تسمح بتشغيل أوامر غير مصرح بها نتيجة معالجة طلبات HTTP خبيثة، وتدعو الشركة إلى تطبيق الترقيات المتوافقة مع كل منتج وإصدار متأثر.
ما المعروف عن الاستغلال؟
رصدت شركة Defused يوم الاثنين عمليات استغلال فعلية لهذه الثغرات، موضحة أن الآلية المستخدمة في إحدى الحالات تبدو مطورة بواسطة أدوات الذكاء الاصطناعي التوليدي، مع احتمالية احتوائها على بعض الأخطاء البرمجية. وفي المقابل، لم تشر نشرات Fortinet الرسمية إلى وجود حالات استغلال نشطة معلومة، ولم تؤكد الشركة رسمياً استخدام هذه الثغرات في هجمات ميدانية حتى الآن.
ويفرض هذا التباين في المعطيات أولوية عملية واضحة، وهي التعامل مع هذه الثغرات بوصفها تهديداً مرتفع الخطورة على البيئات الرقمية المكشوفة أو التي لم تتلق التحديثات بعد، مع تجنب بناء استنتاجات تتجاوز البيانات المؤكدة. فالإشكالية هنا لا تتعلق بخطأ برمجى معزول في نظام فرعي، وإنما تستهدف منصة مركزية تؤثر مخرجاتها التحليلية مباشرة في القرارات الأمنية المتخذة عبر المنتجات والأنظمة المتصلة بها.
دلالات أمنية
لم تكن منصة FortiSandbox سابقاً ضمن الأهداف الشائعة للمهاجمين مقارنة ببعض منتجات Fortinet الأخرى التي شهدت حملات استغلال واسعة في فترات سابقة. ورغم ذلك، فإن رصد محاولات استهدافها فور الإفصاح عن الثغرات يجسد نمطاً متكرراً في أمن المعلومات، يتمثل في السرعة العالية للانتقال من مرحلة الكشف عن الخلل إلى مرحلة فحص الأنظمة غير المحدثة واختراقها، لا سيما عندما تكون الثغرات حرجة ويمكن استغلالها عن بُعد.
وتبرز هذه المعطيات ضرورة اتخاذ خطوات حماية عاجلة، تبدأ بحصر دقيق لجميع النسخ المستخدمة من FortiSandbox وFortiSandbox Cloud وFortiSandbox PaaS، وتطبيق التحديثات الموصى بها من Fortinet، بالإضافة إلى فحص سجلات HTTP وواجهات API بدقة لرصد أي طلبات مشبوهة، مع عزل الواجهات الإدارية وتقييد وصولها الشبكي قدر الإمكان.
