رصد استغلال فعلي لثغرة حرجة في منصة FortiClient EMS التابعة لشركة Fortinet. وقد كشفت شركة Defused أن هذا التطور يسلط الضوء مجدداً على المخاطر الكبيرة المرتبطة بخوادم إدارة نقاط النهاية. وتعد هذه الأنظمة حلقة وصل حساسة داخل البنية التحتية للمؤسسات؛ حيث ترفع الثغرات المكتشفة فيها من مستوى المخاطر التشغيلية، ولا سيما تلك التي يمكن استغلالها قبل عملية المصادقة وبمستوى تعقيد منخفض.
وفي سياق التوثيق التقني، كانت شركة Fortinet قد أصدرت تنبيهاً رسمياً في 6 فبراير 2026 تحت المعرف CVE-2026-21643، منحت فيه الثغرة تصنيف خطورة مرتفعاً يصل إلى 9.1 وفق معيار CVSS العالمي. وتندرج هذه الثغرة ضمن فئة حقن SQL، وهي تقنية هجومية تهدف للتلاعب بقواعد البيانات عبر إدخال أوامر برمجية خبيثة داخل الواجهة الإدارية لنظام FortiClient EMS.
يتيح هذا الخلل للمهاجم غير الموثق تنفيذ أوامر أو شيفرات غير مصرح بها عن طريق إرسال طلبات HTTP مصممة بعناية نحو النظام المستهدف، ما يفتح الباب أمام احتمالات وقوع اختراقات واسعة النطاق داخل المنشأة.
نطاق التأثير والتدابير الوقائية لمواجهة تهديدات خوادم الإدارة المكشوفة
يقتصر نطاق التأثر بهذه الثغرة على الإصدار 7.4.4 من نظام FortiClient EMS، في حين تظل سلسلة الإصدارات 8.0 بمنأى عن هذا التهديد. وقد أوضحت شركة Fortinet أن معالجة هذا الخلل الأمني تتطلب من المؤسسات الترقية الفورية إلى الإصدار 7.4.5 أو النسخ الأحدث لضمان سلامة أنظمتها.
ورغم أن الفريق الداخلي لأمن المنتجات في الشركة هو من اكتشف الثغرة وأفاد حينها بأن حالة الاستغلال لم تكن مثبتة، إلا أن المعطيات الميدانية الحالية تعكس تغيراً جذرياً في الواقع الأمني بناء على تقارير الرصد اللاحقة، وذلك رغم غياب تحديث رسمي من الشركة حتى لحظة نشر هذا التقرير.
وفي هذا الصدد، أكدت شركة Defused رصد أولى عمليات الاستغلال الفعلي قبل أيام قليلة، حيث تمكن المهاجمون من تمرير أوامر SQL عبر ترويسة “Site” ضمن طلبات HTTP الموجهة للمنصة.
تظهر البيانات التشغيلية أن حجم التهديد يتسع بوجود أكثر من 2,000 مثيل مكشوف لواجهة FortiClient EMS على الإنترنت وفق بيانات Shadowserver، مع تركز واضح في الولايات المتحدة وأوروبا. وبينما قدرت منصة Shodan عدد الأنظمة المكشوفة بنحو 1,000 مثيل، يظل هذا التباين في الأرقام دليلاً على أن هذه الأنظمة تمثل هدفاً مباشراً وخطيراً للمهاجمين.
التبعات الاستراتيجية لاختراق أنظمة إدارة نقاط النهاية
تتجاوز خطورة هذه الثغرة الجوانب التقنية البحتة لتصل إلى عمق الإدارة المؤسسية، إذ تُعد منصة FortiClient EMS المسؤول الأول عن إدارة سياسات نقاط النهاية، وتوزيع البرمجيات، والإشراف الشامل على الأجهزة. ويمنح اختراق هذا النظام المهاجمين وصولاً إدارياً واسعاً داخل البيئة التشغيلية للمؤسسة، وهو ما يفسر سبب استهداف مجموعات برمجيات الفدية وعصابات التجسس السيبراني لمنتجات Fortinet في حملاتهم السابقة.
إن السيطرة على هذه المنصة تعني قدرة المهاجم على التحكم في أمن الأجهزة المرتبطة بالشبكة، وتجاوز الدفاعات التقليدية بسهولة نتيجة امتلاك هذا المستوى العالي من الصلاحيات.
ويعزز السياق التاريخي لهذه المنصة ضرورة التحرك السريع من قبل مدراء النظم؛ ففي مارس 2024 تعاملت الجهات الأمنية في الولايات المتحدة مع ثغرة أخرى في FortiClient EMS جرى استغلالها في هجمات واقعية. ويظهر تكرار استهداف هذه المنصة نمطاً واضحاً يربط بين منصات الإدارة المركزية المكشوفة والهجمات المنظمة.
