تخطى إلى المحتوى الرئيسي
شارك

اختراق FortiClient EMS عبر ثغرة CVE-2026-35616 لنشر برمجية EKZ

فريق جلتشمنذ 4 ساعات0 مشاهدة4 دقائق
شارك
اختراق FortiClient EMS عبر ثغرة CVE-2026-35616 لنشر برمجية EKZ

ثغرة حرجة في FortiClient EMS تتيح للمهاجمين تجاوز المصادقة ونشر برمجية EKZ لسرقة البيانات الحساسة وملفات تعريف الارتباط لتجاوز المصادقة الثنائية.

مقدمة تحليلية

أصدرت الوكالات الأمنية والشركات الدفاعية تحذيرات عاجلة بعد رصد استغلال نشط لثغرة أمنية حرجة في نظام إدارة المؤسسات Fortinet FortiClient Enterprise Management Server (EMS). الثغرة التي تم تتبعها تحت المعرف CVE-2026-35616 تتيح للمهاجمين تجاوز نظام المصادقة بالكامل ونشر برمجية خبيثة غير موثقة سابقاً تُدعى EKZ Infostealer، مخصصة لسرقة بيانات الاعتماد الحساسة والملفات التعريفية للمستخدمين.

وفقاً للتقارير الصادرة عن شركة الأمن السيبراني Arctic Wolf ومؤسسة The Shadowserver Foundation، فإن الهجمات بدأت بالفعل في استهداف المؤسسات التي تدير نسخاً غير مسبوقة الحماية من هذا النظام. وتُعد هذه الثغرة من نوع تجاوز التحكم في الوصول (Improper Access Control)، مما يسمح لمهاجم خارجي غير مصرح له بتنفيذ أوامر برمجية عشوائية عن بُعد عبر إرسال طلبات مصممة خصيصاً إلى الخادم المصاب.

تكمن خطورة هذه الحملة في قدرة المهاجمين على إخفاء البرمجية الخبيثة في هيئة تحديث أمني شرعي لبرنامج الحماية الطرفية Fortinet، ومن ثم تشغيلها عبر سكربتات شبكات الاتصال الافتراضية الخاصة VPN التي يديرها برنامج FortiClient نفسه. هذا الأسلوب يمنح البرمجية الخبيثة غطاءً من الموثوقية يجعل من الصعب على حلول الحماية التقليدية اكتشافها فوراً.

التحليل التقني

تبدأ سلسلة الهجوم باستغلال مباشر للواجهات البرمجية الخاصة بنقاط النهاية (Endpoint APIs) في خادم FortiClient EMS. تتيح ثغرة CVE-2026-35616 للمهاجم تجاوز متطلبات التحقق والمصادقة للقيام بإجراءات إدارية كاملة. وتتلخص الخطوات التقنية للهجوم في النقاط التالية:

  • تعديل السياسات: يقوم المهاجم بتعديل إعدادات خادم EMS وتغيير سياسات شبكة VPN لإدراج سكربتات برمجية خبيثة يتم تنفيذها تلقائياً عند الاتصال.
  • استغلال الاتصال: بمجرد أن يقوم المستخدم بإنشاء نفق اتصال آمن IPsec tunnel باستخدام جدار الحماية FortiGate، يقوم الملف التنفيذي الشرعي fortitray.exe بتشغيل ملفات باتش (Batch Scripts) خبيثة عبر موجه الأوامر Command Prompt.
  • تنفيذ PowerShell: تقوم هذه السكربتات باستدعاء كود PowerShell مشفر بصيغة base64، والذي يتولى مهمة تحميل الحمولة الخبيثة الأساسية من خادم افتراضي خاص (VPS) يسيطر عليه المهاجم عبر بروتوكول HTTP.
  • التمويه والتنفيذ: يتم تنزيل البرمجية الخبيثة EKZ في هيئة تحديث أمني وهمي لمنتجات Fortinet، ويتم تشغيلها بصمت في الخلفية.

البرمجية الخبيثة EKZ Infostealer تمتلك قدرات متطورة نسبياً لسرقة البيانات، حيث تستهدف متصفحات الويب المبنية على نواة Chromium بالإضافة إلى متصفح Firefox. وتقوم البرمجية بالمهام التالية:

  • سرقة كلمات المرور المخزنة وتجاوز أنظمة التشفير المحلية الخاصة بالمتصفحات.
  • استخراج بيانات بطاقات الائتمان، والعناوين، وأرقام الهواتف.
  • سرقة ملفات تعريف الارتباط الكوكيز (Cookies) النشطة، مما يسمح للمهاجمين بتجاوز المصادقة الثنائية (MFA) للعديد من الحسابات والمنصات السحابية الحساسة.
  • حذف الآثار المحلية لملفات التشغيل المؤقتة بعد إتمام عملية نقل البيانات المسروقة إلى خادم التحكم والسيطرة التابع للمهاجمين.

على مستوى السجلات والتحليل الجنائي الرقمي، أشارت الأبحاث إلى أن محاولات الاستغلال تترك نمطاً مميزاً في سجلات خادم EMS. تظهر رسالة الخطأ التالية بوضوح: 'Certificate not found in request header'، تليها مباشرة بعد ثوانٍ معدودة رسالة تفيد بتحديث ناجح للمستخدم: 'Certificate user: fortinet-ca2 … successfully updated'. هذا السلوك يشير إلى محاولة ناجحة لتزوير الهوية الرقمية للوصول إلى الواجهات البرمجية الإدارية.

السياق وتأثير السوق

تأتي هذه الثغرة في وقت حرج لشركة Fortinet التي تواجه ضغوطاً مستمرة لحماية بنيتها التحتية الموزعة في المؤسسات الكبرى والحكومات. وكانت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) قد تفاعلت بسرعة مع هذا التهديد وأصدرت أمراً ملزماً للوكالات الفيدرالية بضرورة ترقيع خوادم FortiClient EMS المتأثرة بشكل فوري. وتتفاقم الأزمة بالنظر إلى أن مؤسسة The Shadowserver Foundation رصدت وجود أكثر من 2000 خادم EMS مكشوف مباشرة للإنترنت العام، مما يجعلها أهدافاً سهلة لمجموعات الجريمة السيبرانية وبرمجيات الفدية.

أطلقت Fortinet حزمة ترقيعات طارئة للإصدارين 7.4.5 و 7.4.6 للحد من انتشار الهجمات. ومع ذلك، فإن بطء وتيرة الترقيع في العديد من الشركات يمنح المهاجمين فرصة ذهبية لنشر برمجية EKZ وغيرها من البرمجيات الضارة. بالمقارنة مع ثغرات جدران الحماية السابقة، فإن استغلال أنظمة إدارة الأجهزة الطرفية مثل EMS يمثل خطورة مضاعفة لأن خادم الإدارة يمتلك بطبيعته صلاحيات إدارية كاملة على آلاف الأجهزة داخل الشبكة الداخلية للمؤسسة، وبالتالي فإن سقوط خادم EMS يعني سقوط الشبكة بأكملها في يد المهاجمين.

رؤية Glitch4Techs

من منظورنا التحليلي في Glitch4Techs، نرى أن هذا الهجوم يبرز نقطة ضعف هيكلية في استراتيجيات الدفاع السيبراني الحديثة؛ وهي 'سلسلة الثقة الداخلية' (Chain of Trust). إن قيام برنامج الحماية نفسه (FortiClient) بتشغيل البرمجيات الخبيثة بالاعتماد على ميزة السكربتات الموثقة يوضح كيف يمكن للمهاجمين تحويل أدوات الدفاع إلى أسلحة هجومية فتاكة. عندما تثق الأجهزة الطرفية بشكل أعمى في أوامر خادم الإدارة المركزي، فإن أي اختراق لهذا الخادم يمنح المهاجم مفاتيح السيطرة الشاملة بدون مقاومة.

نتوقع أن تستمر مجموعات التهديد المتقدمة في استهداف واجهات الإدارة الخلفية لشبكات VPN وحلول العمل عن بُعد، خاصة وأن استغلال هذه الثغرات لا يتطلب مصادقة أولية. وننصح المؤسسات بالتالي لوقف هذا التهديد:

  • التحديث الفوري والكامل لجميع خوادم FortiClient EMS إلى الإصدارات الآمنة التي وفرتها الشركة المطورة.
  • مراقبة سجلات الاتصال بحثاً عن أي سلوكيات غير معتادة تتعلق بمصادقة الشهادات الرقمية (Certificates) وتحديثات ملفات تعريف الوصول عن بعد Remote Access Profiles.
  • تطبيق مبدأ الحد الأدنى من الصلاحيات والتحقق من الهوية المستمر (Zero Trust Architecture)، بحيث لا يتم منح السكربتات الصادرة من خوادم الإدارة صلاحيات تشغيل مطلقة دون فحص محتواها وسلوكها التشغيلي.
  • عزل واجهات الإدارة الخاصة بخوادم EMS عن شبكة الإنترنت العامة وتأمين الوصول إليها عبر قنوات مخصصة ومحمية بمصادقة متعددة العوامل قوية للغاية.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.