ثغرة FortiClient EMS تمنح القراصنة ممرًا سريًا لسرقة كلمات المرور

مقدمة تحليلية

شهد النصف الأول من عام 2026 تصاعدًا في استهداف البنى التحتية لإدارة الأنظمة الأمنية. كشفت شركة الأمن السيبراني العالمية Arctic Wolf عن حملة برمجية خبيثة بالغة الخطورة والتعقيد تستهدف خوادم إدارة الأجهزة الطرفية FortiClient Endpoint Management Server (EMS) التابعة لشركة Fortinet. يستغل المهاجمون ثغرة أمنية حرجة تم رصدها تحت المعرف CVE-2026-35616، وهي ثغرة تمثل ممرًا خلفيًا يتيح تجاوز آليات المصادقة الخاصة بواجهة برمجة التطبيقات API دون الحاجة لأي بيانات اعتماد مسبقة، مما يسهل تصعيد الصلاحيات الكاملة على الشبكات المستهدفة. الخطورة الاستثنائية التي تميز هذه الحملة تكمن في قدرة الفاعلين الخبيثين على إساءة استخدام البنية التحتية الموثوقة والمخصصة لإدارة الأجهزة الأمنية لحقن ونشر البرمجيات الضارة عبر البيئة المؤسسية. ومن خلال استغلال هذا الممر الإداري، نجح المهاجمون في تمويه وتمرير حمولة برمجية خبيثة لسرقة بيانات الاعتماد متنكرة كأنها تحديث رسمي للنظام يحمل الاسم FortiEndpoint_Patch.exe، مما جعل عملية التنفيذ تتم صامتًا وبصلاحيات كاملة عبر أداة PowerShell دون إثارة الشكوك. بدلاً من استهداف الأجهزة الطرفية الفردية بشكل منفصل، يركز المهاجمون على نقطة التحكم المركزية. وبمجرد السيطرة على خادم EMS، تصبح جميع الأجهزة المدارة التابعة له بمثابة أهداف مفتوحة لتلقي الأوامر الضارة وتنفيذها. هذا التكتيك المتطور يستغل الأداة الأمنية ذاتها كسلاح لاختراق الشبكات.

التحليل التقني

تعتمد الهجمات على استغلال الثغرة الأمنية CVE-2026-35616، والتي حازت على تقييم خطورة حرج بلغ 9.1 وفقًا لنظام تقييم الثغرات القياسي CVSS. وتتمثل الآليات التقنية للهجوم في الخطوات التالية:

• تجاوز المصادقة: تبدأ الهجمات بإرسال طلبات مصممة لواجهات برمجة التطبيقات الخاصة بالخادم، مما يسمح بتخطي حواجز التحقق الأمني والوصول بصلاحيات المسؤول.
• تعديل السياسات لمنع الاكتشاف: يعمد المهاجمون إلى تعديل تكوينات النظام لتأجيل تنبيهات ترقية البرمجيات الثابتة وتحديثات النظام لمنع المشرفين من تدارك الاختراق.
• التلاعب بملفات تعريف الوصول: يتم تغيير إعدادات Remote Access Profile وتعديل سياسات الأجهزة الطرفية لزرع تعليمات برمجية خبيثة مخصصة للتنفيذ التلقائي.
• استغلال ملفات النظام الموثوقة: يستخدم المهاجمون ملف fortitray.exe الشرعي والتابع لتطبيق FortiClient، لتشغيل نصوص برمجية مخصصة ذات امتداد .cmd عبر مترجم الأوامر cmd.exe.
• تنفيذ PowerShell المشفر: يقوم ملف .cmd باستدعاء نص PowerShell برمجي مشفر باستخدام ترميز Base64 لإخفاء الأوامر الحقيقية من المراقبة الأمنية.
• تحميل الحمولة النهائية: يقوم نص PowerShell بالاتصال بخادم إنترنت خارجي لتنزيل برمجية خبيثة تحمل الاسم FortiEndpoint_Patch.exe وتشغيلها صامتًا على محطة العمل.

الملف الخبيث FortiEndpoint_Patch.exe يمثل برمجية تجسس وسرقة بيانات Information Stealer غير معروفة سابقًا في مجتمع الأمن السيبراني. صممت هذه الأداة لتقصي وسرقة الأصول الرقمية الحساسة المخزنة في متصفحات الويب المستندة إلى محركي Chromium وGecko، حيث تستهدف برامج التصفح الشهيرة مثل Google Chrome وFirefox للتنقيب عن كلمات المرور وملفات تعريف الارتباط الخاصة بالجلسات Session Cookies ومعلومات التعبئة التلقائية مثل تفاصيل بطاقات الائتمان والعناوين. تفتقر هذه الأداة الخبيثة لأي وظائف مدمجة للاتصال الشبكي المباشر لتقليل حركة المرور المشبوهة، وتكتفي بكتابة البيانات الحساسة المستخرجة داخل ملف سجل محلي مخفي في مسار دليل النظام ProgramData. بعد ذلك، يتولى نص PowerShell المساعد قراءة هذا السجل وإرساله بشكل منفصل إلى البنية التحتية للمهاجمين عبر طلب HTTP POST موجه إلى العنوان IP الرقمي التالي: 83.138.53[.]110.

السياق وتأثير السوق

تأتي هذه الحملة الأمنية المقلقة في وقت تشهد فيه حلول تكنولوجيا حماية الشبكات ضغوطًا وهجمات متزايدة ومكثفة من قبل جماعات التهديد المتقدمة. إن استهداف خوادم مثل FortiClient EMS يعكس رغبة المهاجمين في تعظيم عائد هجماتهم؛ فاختراق خادم واحد يمنحهم على الفور مفاتيح السيطرة على آلاف الأجهزة الطرفية دون الحاجة إلى اختراق جدران حماية إضافية بشكل مستقل. وعلى الرغم من أن شركة Fortinet قد بادرت بالفعل إلى تصحيح الثغرة من خلال إطلاق الإصدار FortiClient EMS 7.4.7 والإصدارات اللاحقة، إلا أن الفجوة الزمنية بين طرح التحديث وتطبيقه تمثل النافذة التي يستغلها القراصنة. وأحد أخطر التداعيات المترتبة على سرقة ملفات الجلسات هو قدرة المهاجمين على تنفيذ هجمات تجاوز المصادقة واختطاف الحسابات السحابية، متجاوزين تدابير المصادقة متعددة العوامل MFA بالكامل عبر محاكاة جلسات تصفح مشروعة للمستخدمين.

رؤية Glitch4Techs

تفرض هذه الحادثة مراجعة حاسمة وعميقة لطريقة تصميم وتطبيق سياسات الأمن السيبراني داخل المؤسسات الحديثة. نحن في Glitch4Techs نرى أن الاعتماد الأعمى على مفهوم الأدوات الأمنية الموثوقة بات يمثل واحدة من أكبر نقاط الضعف المعاصرة؛ فحينما تتحول الأداة المسؤولة عن تأمين الأنظمة إلى ناقل للبرمجيات الخبيثة، تنهار خطوط الدفاع التقليدية وتصبح الثقة متبادلة بشكل خاطئ ومضر. هذا السيناريو يستدعي تبني وتطبيق مبدأ الثقة الصفرية Zero Trust ليس فقط على مستوى هويات المستخدمين، بل على مستوى سلوك البرمجيات والأدوات الإدارية نفسها. لا ينبغي لأي تطبيق، حتى وإن كان يملك صلاحيات نظام قصوى ويحمل توقيعًا رقميًا موثوقًا مثل fortitray.exe، أن يُسمح له بتشغيل نصوص PowerShell معقدة ومستدعاة من الخارج دون تدقيق ومراقبة مستمرة. تتطلب مواجهة هذا النوع من التهديدات المتطورة اتخاذ تدابير استباقية صارمة تشمل الترقية الفورية لجميع خوادم FortiClient EMS إلى الإصدار الآمن 7.4.7 لضمان غلق الثغرة، وفرض رقابة صارمة على جدران الحماية للحد من الاتصالات الخارجية وحظر عنوان IP المرتبط بالهجوم 83.138.53[.]110. يجب أيضًا تفعيل أدوات الكشف والاستجابة على النقاط الطرفية EDR لرصد أي سلوك فرعي مريب صادر عن العمليات الخدمية الموثوقة للأنظمة.