أصدرت شركة Fortinet تحديثات أمنية لمعالجة ثغرة حرجة في نظام FortiSIEM، مما يمثل تهديدًا محتملاً يسمح للمهاجمين غير المصرح لهم بتنفيذ تعليمات برمجية على الأنظمة المتأثرة. تتيح هذه الثغرة، التي تحمل الرقم CVE-2025-64155، للمهاجم التحكم في النظام عن بعد.
تم تصنيف الثغرة بدرجة 9.4 من 10 على مقياس CVSS، وهي تشير إلى وجود مشكلة خطيرة تتطلب اهتماماً فورياً. ووفقاً لبيان الشركة، فإن الثغرة تسمح لمهاجم غير مصرح له بتنفيذ تعليمات برمجية أو أوامر غير مصرح بها عبر طلبات TCP مصممة خصيصًا.
ثغرة FortiSIEM وأثرها الأمني
تؤثر الثغرة المكتشفة، CVE-2025-64155، على عقد Super و Worker في نظام FortiSIEM. وتمثل هذه الثغرة خطورة خاصة لأنها تمكن المهاجمين من تجاوز إجراءات الأمان الأساسية.
تشرح Fortinet أن الثغرة تنبع من “عدم كفاية تحييد العناصر الخاصة المستخدمة في أوامر نظام التشغيل (حقن أوامر نظام التشغيل) في FortiSIEM”. وهذا يعني أن مدخلات المستخدم التي لا يتم التعامل معها بشكل صحيح يمكن أن تؤدي إلى تنفيذ أوامر ضارة.
تفاصيل الثغرة وكيفية استغلالها
كشف الباحث الأمني Zach Hanley من Horizon3.ai، الذي قام باكتشاف الثغرة والإبلاغ عنها، أن استغلالها يتضمن مرحلتين رئيسيتين. أولاً، هناك ثغرة حقن وسيطات تتيح كتابة ملفات عشوائية، مما يسمح بتنفيذ تعليمات برمجية عن بعد كمستخدم مسؤول.
وبعد ذلك، يمكن استغلال ثغرة تصعيد صلاحيات من خلال الكتابة فوق ملف، مما يؤدي إلى الحصول على صلاحيات الجذر (root). وهذا يمنح المهاجم سيطرة كاملة على الجهاز المتأثر.
آلية عمل الثغرة
تتعلق المشكلة بكيفية تعامل خدمة phMonitor في FortiSIEM مع الطلبات الواردة، خاصة تلك المتعلقة بتسجيل الأحداث الأمنية. هذه الخدمة مسؤولة عن مراقبة الصحة وتوزيع المهام والتواصل بين العقد عبر منفذ TCP 7900.
تؤدي هذه الثغرة إلى استدعاء سكربت shell بمعاملات يتحكم فيها المستخدم، مما يفتح الباب لحقن وسيطات عبر أمر curl. وهذا بدوره يتيح القدرة على الكتابة إلى ملفات على القرص بصلاحيات المستخدم المسؤول.
تصعيد الصلاحيات والسيطرة الكاملة
يمكن استغلال هذه القدرة على الكتابة المحدودة لتحقيق سيطرة كاملة على النظام. يتم ذلك عن طريق استخدام حقن وسيطات curl لكتابة Reverse Shell إلى ملف “/opt/charting/redishb.sh”. هذا الملف يمكن الكتابة إليه من قبل المسؤول ويتم تنفيذه تلقائيًا كل دقيقة بواسطة نظام التشغيل بصلاحيات الجذر.
يعني هذا أنه بكتابة Reverse Shell في هذا الملف، يمكن للمهاجم رفع صلاحياته من مسؤول إلى جذر (root)، مما يمنحه وصولاً غير مقيد إلى جهاز FortiSIEM. الجدير بالذكر أن خدمة phMonitor تعرض العديد من معالجات الأوامر التي لا تتطلب أي مصادقة، مما يسهل على المهاجم استدعاء هذه الوظائف بمجرد الوصول إلى منفذ 7900.
إصلاحات إضافية وتوصيات
لم تقتصر التحديثات على FortiSIEM فقط، حيث قامت Fortinet أيضًا بمعالجة ثغرة أمنية حرجة أخرى في FortiFone (CVE-2025-47855، درجة CVSS: 9.3). تسمح هذه الثغرة لمهاجم غير مصرح له بالحصول على تكوين الجهاز عبر طلب HTTP(S) مصمم خصيصًا.
وتشمل الإصدارات المتأثرة من FortiFone: 3.0.13 إلى 3.0.23، و 7.0.0 إلى 7.0.1. ننصح المستخدمين بتحديث أنظمتهم إلى أحدث الإصدارات المتاحة لحماية مثلى. وبالنسبة لثغرة CVE-2025-64155، توصي Fortinet العملاء بتقييد الوصول إلى منفذ phMonitor (7900) كحل مؤقت.