بدأ قراصنة استغلال ثغرتين أمنيتين حرجة في جهاز FortiSandbox، وهو منتج أمني تستخدمه الشركات للكشف عن التهديدات وحمايتها، وذلك حسبما أفاد باحثون أمنيون. تم الإعلان عن هذه الثغرات، التي تحمل التصنيفات CVE-2026-39808 و CVE-2026-39813، وإصدار تحديثات لها من قبل شركة Fortinet في شهر أبريل. ومع ذلك، لم تؤكد الشركة وقوع أي استغلال لهذه الثغرات حتى الآن، ولم ترد على طلب للتعليق.
وسجلت شركة VulnCheck أول ملاحظة لاستغلال الثغرة CVE-2026-39808، وهي ثغرة تسمح بتنفيذ أوامر نظام التشغيل، في التاسع من يونيو. كما أكد باحثون في شركة Defused الأمنية استغلال نفس العيب في الحادي عشر من يونيو، ولاحظوا استغلال ثغرة أخرى، CVE-2026-39813، المتعلقة بتجاوز مسارات الملفات، في الخامس عشر من نفس الشهر.
استغلال ثغرات Fortinet الأمنية: المخاطر والتحذيرات
يشير استغلال هذه الثغرات إلى وجود نشاط متزايد من قبل جهات معادية تستهدف أنظمة FortiSandbox. ووفقاً لسيمو كوهونين، الرئيس التنفيذي لشركة Defused، فقد رصدت الشركة 49 محاولة استغلال لهذه الثغرات من 11 عنوان IP مختلف على مدار ستة أيام. إضافة إلى ذلك، يحاول المهاجمون استغلال ثغرة ثالثة في الجهاز، وهي CVE-2026-25089، والتي كشفت عنها Fortinet وأصدرت تحديثاً لها في التاسع من يونيو.
ويأتي هذا الاستغلال المبكر بعد فترة قصيرة من إصدار التصحيحات الأمنية. ومن جهة أخرى، لم يتسن للباحثين تحديد عدد العملاء المتأثرين بشكل مباشر بهذه الثغرات. ومع ذلك، فإن الأنشطة التي تم رصدها بعد الاستغلال، والتي تشمل التحقق وجمع المعلومات، غالباً ما تسبق موجة أكبر من الهجمات. وهذا يثير قلقاً بشأن مدى انتشار التهديد.
مصادر الهجمات والانتشار العالمي
تمكنت شركة Defused من تتبع الأنشطة الخبيثة إلى 13 مصدراً مختلفاً، ينتمي إلى تسع دول، بما في ذلك الصين، كوريا الجنوبية، تايوان، الهند، سنغافورة، ألمانيا، هولندا، كندا، وبلغاريا. يشير هذا الانتشار الجغرافي الواسع إلى أن الهجمات لا تأتي من جهة واحدة محددة، بل قد تكون ناتجة عن جهات فاعلة مستقلة تستخدم بنية تحتية مشتركة.
من جهة أخرى، لم يلاحظ الباحثون دليلًا على أن المهاجمين يقومون بربط هذه الثغرات ببعضها البعض لتنفيذ هجمات معقدة. ومع ذلك، فإن الثغرات تعمل بشكل منفصل للسماح بتجاوز المصادقة، ورفع مستوى الصلاحيات، وتنفيذ أوامر عشوائية. هذا الاستغلال المتزامن للثغرات يتطلب انتباهاً فورياً من الشركات.
أهمية FortiSandbox في منظومة الأمن السيبراني
تعتبر ثغرات Fortinet ذات أهمية خاصة بسبب الدور المحوري الذي تلعبه أجهزة FortiSandbox. فهي أجهزة موثوقة تُستخدم لتحليل المحتوى المشبوه ودعم سير عمل الكشف الشامل عن التهديدات. وبالتالي، فإن اختراق هذه الأجهزة يمكن أن يمنح المهاجمين وصولاً متزايد الصلاحيات داخل بيئة حساسة أمنياً.
بالإضافة إلى ذلك، فإن أجهزة FortiSandbox تتميز بقيمتها العالية نظراً لاتصالها بالأجهزة الأخرى من Fortinet، حيث تقوم باستقبال وتحليل البيانات منها. وهذا يعني أن اختراق جهاز واحد يمكن أن يفتح الباب أمام الوصول إلى أنظمة أخرى داخل الشبكة، مما يزيد من خطورة الاختراق.
التحذيرات والتوصيات للمؤسسات
حذرت الجهات الأمنية، مثل وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA)، بشكل مستمر من الثغرات الأمنية المكتشفة في منتجات Fortinet. فقد سجلت الوكالة 26 ثغرة أمنية في منتجات Fortinet ضمن قائمة الثغرات المستغلة المعروفة منذ عام 2021. وحتى الآن، لم تضف الوكالة أيًا من الثغرات الجديدة المكتشفة إلى قائمتها الرسمية.
وتؤكد التقارير البحثية على أن هذه الثغرات تؤثر على مكون حيوي في بنية الأمن السيبراني للمؤسسات. لذا، ينصح بشدة على الشركات التي تستخدم أجهزة FortiSandbox، وبالتحديد تلك التي لم تقم بتطبيق التحديثات الأمنية الصادرة في أبريل ويونيو، أن تقوم بذلك فورًا. كما يجب مراجعة سجلات الأمان للكشف عن أي نشاط مريب قد يشير إلى محاولات استغلال.