أصدرت السلطات الفيدرالية والباحثون تحذيرات للمؤسسات يوم الجمعة بشأن ثغرة أمنية حرجة مستغلة على نطاق واسع في جدار حماية تطبيقات الويب الخاص بشركة Fortinet. على الرغم من أن هذا العيب الحرج الذي يتم استغلاله بنشاط يشكل مخاطر كبيرة على عملاء Fortinet، إلا أن الباحثين يشعرون بقلق خاص إزاء التأخير في تواصل الشركة، وفي النهاية، التحذيرات ما بعد الاستغلال المتعلقة بالثغرة.
أصدرت Fortinet تحديثاً برمجياً لمعالجة الثغرة (CVE-2025-64446) في 28 أكتوبر، لكنها لم تمنح الثغرة رمز CVE أو تفصح علناً عن وجودها إلا الأسبوع الماضي، أي بعد 17 يوماً، حين أكدت الشركة أيضاً أن الثغرة قد تم استغلالها في البرية. بحلول ذلك الوقت، بالنسبة لبعض عملاء Fortinet، خاصة أولئك الذين لم يقوموا بالتحديث إلى FortiWeb 8.0.2، كان الأوان قد فات.
ثغرة Fortinet الحرجة تهدد بيانات العملاء
تسمح هذه الثغرة، المصنفة بدرجة CVSS تبلغ 9.8، للمهاجمين بتنفيذ أوامر إدارية، مما يؤدي إلى سيطرة كاملة على الجهاز المخترق. أصدر باحثو التهديدات من شركات متعددة وفرق الاستجابة للطوارئ الحاسوبية ووكالة الأمن السيبراني وأمن البنية التحتية تحذيرات، بعضها تضمن تفاصيل حول هجمات واسعة مرتبطة بهذا العيب.
أصدرت CISA أيضاً تنبيهاً وأضافت الثغرة إلى فهرس الثغرات المستغلة المعروفة لديها، مما يجبر الوكالات الفيدرالية على معالجة الثغرة خلال فترة زمنية قصيرة مدتها سبعة أيام. أكد متحدث باسم Fortinet أن فريق الاستجابة لحوادث أمن المنتجات بالشركة بدأ في معالجة الثغرة فور علمه بها، وأن هذه الجهود مستمرة.
أضاف المتحدث: “توازن Fortinet بجدية بين التزامنا بأمن عملائنا وثقافتنا في الشفافية المسؤولة”، مؤكداً أن الشركة تتواصل مباشرة مع العملاء المتأثرين لتقديم المشورة بشأن أي إجراءات ضرورية. من جانبهم، اكتشف باحثو التهديدات في Defused الثغرة لأول مرة ونشروا نموذج استغلال تجريبي اكتشفوه في 6 أكتوبر.
الاستغلال النشط والتأخر في الإبلاغ
في المقابل، نشر باحثو watchTowr تحليلاً فنياً للاستغلال وأداة لمساعدة المؤسسات في اكتشاف المضيفين المعرضين للخطر. واجهت الثغرة الأمنية نقصاً في المعلومات، مما جعل الاستجابة السريعة والدقيقة صعبة على الباحثين. أوضح بن هاريس، المؤسس والرئيس التنفيذي لشركة watchTowr، أن الهجمات كانت واسعة النطاق وغير انتقائية منذ أوائل أكتوبر، أي قبل فترة طويلة من إعلام الصناعة، وأن صمت Fortinet قد يكون فاقم الوضع.
لم يتم تحديد أو تسمية الضحايا بعد، لكن المهاجمين يستغلون الثغرة لإضافة حسابات إدارية جديدة، مما يضمن لهم وصولاً مميزاً ودائماً على الأجهزة المخترقة. لم تُنسب الهجمات إلى أي جهة محددة أو دوافع حتى الآن. يعتقد هاريس أن التحديث الصامت الذي أجرته Fortinet للثغرة، سواء كان متعمداً أم لا، قد يكون سبباً في عدم قيام العديد من المستخدمين بتطبيق التصحيح.
أضاف هاريس: “لم يتم إخبار عملاء FortiWeb بالمخاطر الحرجة والفورية لعدم تطبيق هذه التحديثات. لو كانوا يعلمون، لكانوا قد قاموا بالتحديث فوراً. والآن، من المحتمل أن يكون أي شخص لم يقم بالتحديث قد تعرض للاختراق”.
فجوة معلوماتية أجبرت الباحثين على السباق
تقع هذه الثغرة في منطقة رمادية من التعريف. ذكر رايان إيمونز، باحث أمني في Rapid7، أنه من وجهة نظر الدفاع، تصرفت هذه الثغرة بشكل وظيفي كـ”ثرى زيرو-داي” (zero-day)، نظراً لاستغلالها قبل أن يكون لدى العملاء أي وعي رسمي أو توجيهات أو معلومات تصحيح. تفتقر ملاحظات إصدار FortiWeb 8.0.2 إلى أي إشارة إلى ثغرات محددة.
أوضح إيمونز أن المجتمع الأمني يبني فهمه من خلال إشارات مشتركة مثل الإعلانات العامة وتعيينات CVE والأوصاف السلوكية وتعليمات الإصلاح الواضحة. وعندما تصل هذه الإشارات متأخرة أو مجزأة، فإنها تبطئ قدرة الباحثين والبائعين والمدافعين على تحديد ما يحدث بالفعل. وأكد أن المهاجمين غالباً ما يتمتعون بميزة “المتحرك الأول”، ويعتمد المدافعون بشكل كبير على شفافية البائعين والتنسيق بين الصناعات.
أجمع الباحثون على انتقاد Fortinet لتأخيرها في الإفصاح العام عن الثغرة ونقص الاستجابة السريعة حتى بدأ الاستغلال الفعلي. أدت المعالجة المتأخرة لـ CVE إلى تفاقم المشاكل للمدافعين، حيث أكد إيمونز أن “في الظلام، تكون المعلومات نادرة والتأخيرات متأصلة، حيث يحاول المدافعون قضاء وقتهم في محاولة فهم ما يحدث”.
يواجه فرق الأمان بالفعل عبئاً كبيراً من تحديثات الثغرات الأمنية، ولا يمكنهم معالجة كل عيب وتحديث برمجي على الفور، بالإضافة إلى تقييم مخاطر التأثير التشغيلي. يمكن للتحديثات أن تعطل العمليات والتكاملات الحيوية. وأشار هاريس إلى أن العديد من المؤسسات، التي تتبع عمليات التحكم في التغيير القياسية، قد أجلت تحديثاتها بشكل مفهوم.