كشف باحثون في مجال الأمن السيبراني عن ثغرة أمنية خطيرة في جدار حماية تطبيقات الويبFortiWeb من Fortinet، تسمح للمهاجمين بالتحكم الكامل في أجهزة WAF، وإنشاء حسابات إدارية جديدة.
وتم رصد استغلال نشط غير محدد لهذه الثغرة في البرية، حيث تشير التقارير الأولية إلى أن الثغرة، التي تم إصلاحها ضمنياً في الإصدار 8.0.2، تسمح بتنفيذ إجراءات بامتيازات المستخدم المتميز.
ثغرة FortiWeb تفتح الباب لهجمات اختراق
اكتشف فريق WatchTowr هذه الثغرة، وقاموا بتأكيد إمكانية استغلالها عبر إنتاج نموذج عملي (Proof-of-Concept). وتسمح الثغرة للمهاجمين بإضافة حساب إداري جديد كآلية استمرارية أساسية للهجمات.
وفقاً لتفاصيل مشتركة، يقوم المهاجمون بإرسال حمولة خبيثة إلى نقطة نهاية محددة عبر طلب HTTP POST لإنشاء حساب إداري. هذه الحمولة تحتوي على أسماء مستخدمين وكلمات مرور تم رصدها في الهجمات الفعلية، مثل “Testpoint” و “trader1”.
آلية عمل الثغرة
يُعتقد أن الثغرة ناتجة عن دمج مشكلتين: الأولى هي تجاوز المسار (Path Traversal) في طلب HTTP، والثانية هي تجاوز آلية المصادقة (Authentication Bypass) عبر محتويات رأس طلب HTTP.
يحتوي الملف التنفيذي “fwbcgi” على آلية للتحقق من صحة جسم طلب HTTP، بالإضافة إلى دالة “cgi_auth()” التي تسمح بانتحال شخصية أي مستخدم.
تتضمن العملية استخلاص رأس CGIINFO من طلب HTTP، ثم فك تشفير قيمته المشفرة بنظام Base64، وبعد ذلك تحليل النتيجة كـ JSON. وأخيراً، يتم استخراج أربع سمات: اسم المستخدم، اسم الملف الشخصي، النطاق الافتراضي، واسم تسجيل الدخول.
تداعيات الثغرة على الأنظمة
يمكن للمهاجم استغلال ثغرة تجاوز المسار هذه لإرسال طلب HTTP مصمم خصيصاً، يتضمن رأس CGIINFO الذي يسمح له بانتحال شخصية أي مستخدم، بما في ذلك المسؤول، وذلك بمجرد تقديم القيم المذكورة سابقاً.
وبالتالي، يمكن للمهاجم تنفيذ أي إجراء بامتيازات إدارية، بما في ذلك إنشاء مستخدمين محليين جدد بصلاحيات مرتفعة، مما يعرض الأنظمة لخطر الاختراق الشامل.
لا تزال هوية الجهة الفاعلة وراء هذه الهجمات مجهولة، وقد تم اكتشاف النشاط الاستغلالي لأول مرة في بداية الشهر الماضي.
بيان Fortinet وتوصيات CISA
كشفت Fortinet عن تتبعها للثغرة ضمن معرف CVE-2025-64446، ووصفته بأنه ثغرة تجاوز مسار نسبي في FortiWeb قد تسمح لمهاجم غير مصادق بتنفيذ أوامر إدارية عبر طلبات HTTP أو HTTPS مصممة خصيصاً. وأكدت الشركة أنها “رصدت استغلال هذه الثغرة في البرية”.
تؤثر المشكلة على الإصدارات من 8.0.0 إلى 8.0.1، ومن 7.6.0 إلى 7.6.4، ومن 7.4.0 إلى 7.4.9، ومن 7.2.0 إلى 7.2.11، ومن 7.0.0 إلى 7.0.11. وتوصي الشركة بالترقية إلى الإصدارات الأحدث.
كحلول مؤقتة، ينصح المستخدمون بتعطيل واجهات HTTP أو HTTPS المواجهة للإنترنت حتى يتم تطبيق التصحيحات. كما ينصح بمراجعة الإعدادات والسجلات بحثاً عن أي تعديلات غير متوقعة أو إضافة حسابات إدارية غير مصرح بها.
أضافت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) الثغرة إلى قائمة الثغرات المستغلة المعروفة (KEV)، مما يلزم الوكالات الفيدرالية بتطبيق الإصلاحات بحلول 21 نوفمبر 2025.
أكدت CISA أن تقييد الوصول إلى واجهات إدارة HTTP/HTTPS للشبكات الداخلية هو أفضل ممارسة، لكنه لا يلغي الخطر تماماً، وأن ترقية الأنظمة المتأثرة هي الطريقة الوحيدة للإصلاح الكامل.