هجوم يستغل 3 ثغرات حرجة بـ FortiSandbox ويخترق 30 ألف جهاز Fortinet

مقدمة تحليلية

بدأت شركة Defused Cyber في 16 يونيو 2026، برصد استغلال نشط لثلاث ثغرات أمنية حرجة ضمن منتجات Fortinet FortiSandbox، وهي CVE-2026-39813، CVE-2026-39808، وCVE-2026-25089. هذه الثغرات، التي تتراوح نقاط CVSS الخاصة بها عند 9.1، تمنح المهاجمين غير المصادق عليهم القدرة على تجاوز آليات التحقق وتنفيذ الأوامر عن بُعد، مما يعرض أنظمة الحماية الأساسية لتهديدات خطيرة ومباشرة.

يتزامن هذا الكشف مع تفاصيل جديدة حول حملة اختراق واسعة النطاق تُعرف باسم "FortiBleed"، والتي كشفت عنها شركة SOCRadar ثم Hudson Rock لاحقًا. تستهدف هذه الحملة، التي يُشتبه أنها روسية المصدر، أكثر من 30,000 جهاز Fortinet FortiGate SSL VPN حول العالم، مهددة البنية التحتية الحيوية في 194 دولة. هذه التطورات تضع Fortinet تحت ضغط متزايد وتثير تساؤلات جدية حول مرونة دفاعات الشركات والحكومات في مواجهة مثل هذه التهديدات المعقدة والمستمرة.

تعكس هذه الهجمات المتزامنة نمطًا مقلقًا من الاستغلال الممنهج لأجهزة الأمن الشبكي التي تُعد حجر الزاوية في حماية البنى التحتية الرقمية. فاستغلال الثغرات في FortiSandbox يُمثل اختراقًا لخط الدفاع الأول، مما يسمح للمهاجمين باكتساب موطئ قدم أولي. بينما تُظهر حملة FortiBleed كيف يمكن لبيانات الاعتماد المسربة والمراقبة المستمرة أن تؤدي إلى اختراقات واسعة النطاق ومستمرة، مما يستدعي استجابة سريعة وشاملة من قبل المؤسسات المتضررة لتقييم الأضرار وإعادة التحصين.

التحليل التقني

تُعد الثغرات الأمنية المكتشفة في FortiSandbox بحد ذاتها خطيرة للغاية نظرًا لوظيفة Sandbox كبيئة معزولة لتحليل البرمجيات الخبيثة. الثغرة الأولى، CVE-2026-39813 (CVSS score: 9.1)، هي ثغرة Path Traversal في FortiSandbox JRPC API تسمح للمهاجمين غير المصادق عليهم بتجاوز التحقق عبر طلبات HTTP مصممة خصيصًا. هذه الثغرة تعني أن المهاجم يمكنه الوصول إلى ملفات أو أدلة خارج المسار المخصص، مما قد يكشف معلومات حساسة أو يسمح بتنفيذ هجمات أخرى تؤدي إلى تصعيد الامتيازات.

الثغرة الثانية، CVE-2026-39808 (CVSS score: 9.1)، هي ثغرة Command Injection في نظام التشغيل. تسمح هذه الثغرة للمهاجمين غير المصادق عليهم بتنفيذ تعليمات برمجية أو أوامر غير مصرح بها على النظام من خلال طلبات HTTP معدة بعناية. وقد تم إصلاح كلتا الثغرتين بواسطة Fortinet في أبريل 2026. أما الثغرة الثالثة، CVE-2026-25089 (CVSS score: 9.1)، فقد تم إصلاحها الأسبوع الماضي، وهي أيضًا ثغرة Command Injection تؤثر على FortiSandbox وFortiSandbox Cloud وFortiSandbox PaaS WEB UI. تسمح هذه الثغرة للمهاجم بتنفيذ أوامر غير مصرح بها عن طريق طلبات HTTP مصممة خصيصًا. الملفت للنظر هنا هو أن Defused Cyber اكتشفت أن استغلال CVE-2026-25089 أظهر علامات تطوير باستخدام نموذج ذكاء اصطناعي (AI)، على الرغم من أن الاستغلال الفعلي كان معيبًا ولم يتم الكشف عن استغلال وظيفي علنًا حتى الآن. هذا يشير إلى أن المهاجمين يستكشفون بنشاط استخدام AI لتطوير أدوات الاختراق، حتى لو لم تكن مثالية بعد.

تنتقل الهجمة الأوسع نطاقاً والمعروفة باسم "FortiBleed" إلى مستوى آخر من التعقيد والتأثير. وفقًا لـ SOCRadar، ثم Hudson Rock في تحليل لاحق نُشر في 17 يونيو 2026، هذه الحملة تستهدف بشكل منهجي أجهزة Fortinet FortiGate SSL VPN. وقد تم تحديد قاعدة بيانات للمهاجمين تحتوي على بيانات اعتماد تسجيل دخول لأكثر من 30,791 جهازًا، ثم تم تحديث هذا العدد لاحقًا ليشمل 73,932 عنوان URL فريدًا لجدران الحماية المتأثرة و 21,632 نطاقًا فريدًا عبر 194 دولة. هذه الأرقام الضخمة تدل على حجم الحملة ونجاحها.

تعتمد المجموعة المهاجمة، التي وصفها Volodymyr "Bob" Diachenko بأنها مجموعة متعددة العمليات ناطقة بالروسية، على نهج من خطوتين رئيسيتين:

• الخطوة الأولى: محاولة تسجيل الدخول باستخدام قوائم كلمات مرور Fortinet المسربة سابقًا ضد الأجهزة المكشوفة على الإنترنت. هذا يستغل حقيقة أن العديد من المنظمات لم تقم بتغيير كلمات المرور بعد الاختراقات السابقة، مما يتيح للمهاجمين الوصول الأولي.
• الخطوة الثانية: بمجرد اختراق الجهاز، يتم مراقبة حركة مرور الشبكة بشكل سلبي لجمع بيانات اعتماد إضافية أثناء مرورها. تُستخدم هذه البيانات لاحقًا لاختراق المزيد من الأجهزة، مما يخلق حلقة مستمرة من الوصول غير المصرح به يصعب كسرها.

بالإضافة إلى ذلك، كشف Diachenko أن هذه المجموعة تستخدم مجموعة 45-GPU لكسر hashes كلمات المرور التي تم اعتراضها من SSL-VPN، ثم تتوغل في بيئات Active Directory الداخلية لمزيد من الاستغلال والبقاء. المثير للقلق هو أن Hudson Rock لاحظت أن حجمًا كبيرًا من كلمات المرور المعقدة للغاية تم اختراقه بنجاح، مما يؤكد أن تعقيد كلمة المرور يصبح عديم الفائدة عندما يتم استعادة كلمات المرور كنصوص صريحة أو إعادة تدويرها من قبل المهاجمين. هذا يشكل تحديًا كبيرًا حتى لأفضل الممارسات الأمنية في إدارة كلمات المرور.

السياق وتأثير السوق

لطالما كانت منتجات Fortinet هدفًا جذابًا للمهاجمين، مما يجعلها "نقطة جذب" (lightning rod) للاستغلال. ففي أبريل 2026، أصدرت Fortinet تصحيحات خارج النطاق لثغرة أمنية حرجة تؤثر على FortiClient EMS (CVE-2026-35616، CVSS score: 9.1) والتي تم استغلالها بنشاط في الهجمات الفعلية. هذا النمط المتكرر من الثغرات الحرجة والاستغلال في منتجات Fortinet يثير مخاوف جدية بشأن عملية تأمين المنتجات وفعالية دورة حياة تطوير الأمن (SDLC) لديها، ويضع ضغطًا كبيرًا على سمعتها في السوق.

تأثير حملة FortiBleed على السوق والمؤسسات لا يمكن التقليل من شأنه على الإطلاق. استهداف أكثر من 70,000 جهاز في 194 دولة يشمل مؤسسات بالغة الأهمية مثل البنوك، مشغلي الاتصالات، المستشفيات، الجامعات، الوكالات الحكومية، شركات الطاقة، والشركات متعددة الجنسيات. تُظهر البيانات أن الهند تمثل 60% من جميع عمليات نشر Fortinet المكشوفة على الإنترنت في القطاع الحكومي، تليها الولايات المتحدة والمكسيك وكولومبيا وتايلاند وتايوان وإندونيسيا وماليزيا وسنغافورة وفرنسا في قائمة العشرة الأوائل للدول الأكثر تضررًا. هذا الانتشار الواسع يعني أن تأثيرات الاختراق ستكون واسعة ومتعددة المستويات، من تسرب البيانات إلى تعطيل الخدمات الحيوية.

توضح هذه الحملة أن التحدي الأمني لا يقتصر على اكتشاف الثغرات وإصلاحها فحسب، بل يمتد إلى ممارسات الأمن التشغيلية للمؤسسات نفسها. حقيقة أن المهاجمين يمكنهم الاستفادة من "قوائم كلمات مرور Fortinet المسربة سابقًا" تشير إلى فشل العديد من المؤسسات في تنفيذ سياسات تغيير كلمات المرور الدورية أو استخدام كلمات مرور فريدة لكل خدمة، حتى بعد علمهم بحدوث اختراقات سابقة. هذا يسلط الضوء على فجوة حاسمة بين التحديثات الفنية والممارسات الأمنية للمستخدم النهائي، مما يعقد الجهود الشاملة لتحقيق الأمن السيبراني.

من حيث المنافسة في سوق الأمن السيبراني، فإن تكرار الهجمات الناجحة على Fortinet قد يؤدي إلى فقدان الثقة لدى العملاء الحاليين والمحتملين وتحولهم نحو بائعين آخرين لأجهزة الأمن الشبكي، ممن يتمتعون بسجل أمني أكثر قوة. يتطلب هذا الوضع من Fortinet ليس فقط إصدار تصحيحات فورية وفعالة، بل أيضًا استعادة ثقة السوق من خلال تعزيز برامج الأمن بشكل استباقي، ربما من خلال برامج المكافآت على الثغرات (bug bounty programs) الأكثر قوة، وإجراء تدقيقات أمنية خارجية منتظمة، وتقديم المزيد من الشفافية حول استجابتها للحوادث.

رؤية Glitch4Techs

ترى Glitch4Techs أن هذه الهجمات الأخيرة ضد Fortinet FortiSandbox وأجهزة FortiGate SSL VPN هي تذكير صارخ بالتهديد المستمر والمتطور الذي تواجهه المؤسسات من الهجمات السيبرانية. إن الكشف عن استخدام نموذج AI لتطوير استغلال جديد، حتى لو كان معيبًا في البداية، يشير إلى اتجاه مقلق حيث ستصبح أدوات الهجوم أكثر تعقيدًا وتلقائية. هذا يتطلب من فرق الأمن أن تظل متقدمة بخطوة، وأن تتوقع طرق الهجوم الجديدة بدلاً من مجرد الاستجابة لها بشكل رد فعل.

تكمن المخاطر الأمنية الرئيسية التي تسلط الضوء عليها هذه الحوادث في عدة جوانب:

• ثغرات "Zero-Day" والـ "N-day": الاعتماد المفرط على أجهزة الأمن الشبكي كدفاع وحيد يجعلها أهدافًا جذابة وذات قيمة عالية للمهاجمين. تكرار الثغرات الحرجة في Fortinet ينذر بتحديات مستمرة في تأمين هذه الأجهزة الأساسية.
• ضعف إدارة بيانات الاعتماد: استغلال كلمات المرور المسربة وإعادة تدويرها يظل نقطة ضعف حرجة لا تزال المؤسسات تكافح لمعالجتها. يجب على المؤسسات فرض استخدام كلمات مرور فريدة وقوية، بالإضافة إلى تطبيق المصادقة متعددة العوامل (MFA) على جميع الخدمات الحساسة، وخاصة الوصول عن بعد مثل SSL VPNs، لتقليل مخاطر الاختراق الناجم عن سرقة بيانات الاعتماد.
• التغاضي عن التهديدات المستمرة: حملة FortiBleed تظهر أن المهاجمين يمكنهم الحفاظ على وصول مستمر من خلال مراقبة حركة المرور وجمع بيانات الاعتماد بشكل مستمر. هذا يستدعي حلولاً قوية للكشف عن التهديدات والاستجابة لها (EDR/XDR) ومراقبة الشبكة الاستباقية، وليس فقط الدفاعات الحدودية.

للحد من هذه المخاطر بشكل فعال، يجب على المؤسسات اتخاذ خطوات حاسمة:

• تطبيق التصحيحات الأمنية فوراً: خاصة تلك التي تعالج الثغرات المستغلة نشطًا، لتقليل نافذة التعرض.
• تعزيز سياسات كلمات المرور وتطبيق MFA: فرض استخدام كلمات مرور قوية وفريدة وتفعيل المصادقة متعددة العوامل في كل مكان ممكن، مع مراجعة دورية لهذه السياسات.
• تجزئة الشبكة (Network Segmentation): لتقليل مساحة الهجوم والحد من الحركة الجانبية للمهاجمين داخل الشبكة في حالة حدوث اختراق أولي.
• المراقبة المستمرة والتحقق من صحة بيانات الاعتماد: استخدام حلول إدارة الهوية والوصول (IAM) وأنظمة إدارة معلومات وأحداث الأمن (SIEM) للكشف عن السلوكيات المشبوهة وأنماط الوصول غير الطبيعية.

نتوقع أن تستمر الهجمات التي تستهدف أجهزة الأمن الشبكي وأنظمة الوصول عن بعد في التزايد. سيؤدي استخدام AI في تطوير الاستغلالات إلى تسريع وتيرة الهجمات وزيادة تعقيدها، مما يجعل الدفاعات التقليدية أقل فعالية. على المدى الطويل، سيتعين على المؤسسات الانتقال نحو نماذج أمنية أكثر مرونة مثل Zero Trust، حيث لا يتم الوثوق بأي كيان افتراضيًا، ويتم التحقق من كل طلب وصول بدقة، بغض النظر عن مصدره. هذه الاستراتيجية الشاملة والوقائية هي وحدها التي يمكن أن توفر دفاعًا فعالًا ضد التهديدات المتطورة باستمرار في المشهد السيبراني الحديث.