يكتشف باحثون في مجال الأمن السيبراني ثغرة خطيرة في جدار حماية تطبيقات الويب FortiWeb من Fortinet، تسمح للمهاجمين بتجاوز آليات المصادقة والاستيلاء على حسابات المسؤولين، مما يقوض أمن الأجهزة بالكامل. وقد تم رصد استغلال نشط لهذه الثغرة في الهجمات حول العالم.
ووفقاً لبحث أجرته شركة WatchTowr، فإن هذه الثغرة، التي تم إصلاحها سراً في الإصدار 8.0.2، تمكن المهاجمين من تنفيذ أوامر كمسؤولين ذوي صلاحيات. وتتركز الهجمات الحالية على إضافة حساب مسؤول جديد كآلية استمرار غير مشروعة للمهاجمين.
ثغرة Fortinet FortiWeb تثير القلق
أكدت شركة WatchTowr قدرتها على إعادة إنتاج الثغرة بنجاح وتطوير نموذج إثبات مفهوم (Proof-of-Concept) فعال. كما أطلقت أداة لمساعدة المستخدمين على تحديد الأجهزة المتأثرة.
وبحسب التفاصيل التي شاركها باحثون أمنيون، فإن المهاجمين يستغلون نقطة ضعف تتمثل في إرسال حملة خبيثة إلى نقطة النهاية “/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi” عبر طلب HTTP POST لإنشاء حساب مدير.
آلية الهجوم واستغلال الثغرة
أوضحت الأبحاث أن الثغرة هي في الواقع مزيج من مشكلتين: الأولى هي خلل في اجتياز المسار (Path Traversal) ضمن طلب HTTP للوصول إلى الملف التنفيذي “fwbcgi”، والثانية هي تجاوز المصادقة عبر محتويات رأس طلب HTTP المسمى CGIINFO.
يتضمن الملف التنفيذي “fwbcgi” آلية للتحقق من صحة جسم طلب HTTP كـ JSON، بالإضافة إلى استدعاء دالة “cgi_auth()” التي تسمح بانتحال صفة أي مستخدم بناءً على البيانات المقدمة من العميل.
تتم العملية عبر عدة خطوات تشمل استخلاص رأس CGIINFO من طلب HTTP، وفك تشفير قيمته المشفرة بنظام Base64، ثم تحليل النتيجة كـ JSON. بعد ذلك، يتم استخلاص أربعة سمات رئيسية: اسم المستخدم، اسم الملف الشخصي، النطاق الافتراضي، ومعرف تسجيل الدخول.
عندما يتعلق الأمر بالحساب المدمج “admin”، تكون هذه القيم ثابتة ولا يمكن تغييرها. ونتيجة لذلك، يمكن للمهاجم استغلال ثغرة اجتياز المسار عبر إرسال طلب HTTP مصمم خصيصاً يتضمن رأس CGIINFO يسمح بانتحال صفة أي مستخدم، بما في ذلك المسؤول.
يشير الباحثون إلى أن المهاجم يمكنه تنفيذ أي إجراء ذي صلاحيات بمجرد توفير بنية JSON المناسبة. ويمكن استغلال هذه الثغرة لإنشاء مستخدمين محليين جدد بصلاحيات مرتفعة.
رصد الاستغلال وجهود الكشف
بدأت رصد نشاطات الاستغلال هذه مطلع الشهر الماضي، ولا تزال هوية الجهة الفاعلة وراء الهجمات غير معروفة. وقد لاحظت شركة Rapid7 وجود ما يبدو أنه استغلال لثغرة يوم الصفر (zero-day) تستهدف FortiWeb، وتم عرضها للبيع في أحد المنتديات المعروفة.
ودعت Rapid7 المؤسسات التي تستخدم إصدارات Fortinet FortiWeb الأقدم من 8.0.2 إلى معالجة الثغرة بشكل عاجل. وأشار الباحثون إلى أن الأجهزة التي تظل غير مرقعة قد تكون عرضة للخطر بالفعل.
بيان Fortinet والتحديثات الأمنية
تتعقب Fortinet الآن الثغرة تحت المسمى CVE-2025-64446، وتصفها بأنها ثغرة اجتياز مسار نسبي في FortiWeb قد تسمح لمهاجم غير مصادق عليه بتنفيذ أوامر إدارية على النظام عبر طلبات HTTP أو HTTPS مصممة بعناية. كما أقرت الشركة بأنها “لاحظت استغلالها في البرية”.
تؤثر هذه المشكلة على الإصدارات التالية:
- FortiWeb 8.0.0 إلى 8.0.1 (يجب الترقية إلى 8.0.2 أو أعلى)
- FortiWeb 7.6.0 إلى 7.6.4 (يجب الترقية إلى 7.6.5 أو أعلى)
- FortiWeb 7.4.0 إلى 7.4.9 (يجب الترقية إلى 7.4.10 أو أعلى)
- FortiWeb 7.2.0 إلى 7.2.11 (يجب الترقية إلى 7.2.12 أو أعلى)
- FortiWeb 7.0.0 إلى 7.0.11 (يجب الترقية إلى 7.0.12 أو أعلى)
كإجراءات بديلة، يُنصح المستخدمون بتعطيل واجهات HTTP أو HTTPS المواجهة للإنترنت حتى يتم تطبيق التصحيحات. كما يُنصح بمراجعة التكوينات والسجلات بحثاً عن تعديلات غير متوقعة أو إضافة حسابات مسؤول غير مصرح بها.
أكدت Fortinet أنها على علم بهذه الثغرة وأن جهود الاستجابة والمعالجة مستمرة. وتحث الشركة عملاءها على الرجوع إلى الإشعار الأمني واتباع الإرشادات المقدمة لـ CVE FG-IR-25-910.
أضافت وكالة الأمن السيبراني والبنيا التحتية الأمريكية (CISA) الثغرة إلى قائمة الثغرات المعروفة والمستغلة (KEV)، مما يتطلب من الوكالات الفيدرالية المدنية تطبيق الإصلاحات بحلول 21 نوفمبر 2025.
وشددت الوكالة على أن قصر الوصول إلى واجهات الإدارة عبر HTTP/HTTPS على الشبكات الداخلية هو أفضل ممارسة تقلل من المخاطر، لكنها لا تلغيها، وأن ترقية الأنظمة المتأثرة تظل ضرورية وكفيلة بالمعالجة الكاملة لهذه الثغرة.
من جهتها، حثت شركة VulnCheck عملاء FortiWeb على التواصل مع المورد للحصول على إرشادات بشأن البحث عن التهديدات ومؤشرات الاختراق الأخرى. كما انتقدت الشركة نهج