ثغرة FortiSIEM الحرجة: استغلالها يهدد العملاء

بدأ عام 2026، ولكن يبدو أن الأمور تتكرر بالنسبة لعملاء Fortinet، حيث ظهرت ثغرة جديدة تتعرض للهجوم. في 13 يناير، كشفت Fortinet عن ثغرة حرجة في منصة FortiSIEM، والتي تم تتبعها تحت الرمز CVE-2025-64155، وحصلت على تقييم 9.4 في نظام تقييم شدة الثغرات (CVSS). تسمح هذه الثغرة، التي تتعلق بحقن أوامر نظام التشغيل، لمهاجم غير مصادق له بتنفيذ أكواد عن بُعد (RCE) على نسخ FortiSIEM من خلال طلبات TCP مصممة خصيصًا.

في يوم أمس، حذرت شركة Defused للأمن السيبراني في منشور على منصة X من أن CVE-2025-64155 قد تم استغلالها في العالم الحقيقي. وقد جاء جزء كبير من النشاط التهديدي الذي رصدته مصائد Defused من عناوين IP مختلفة، بما في ذلك ثلاثة من مزودي خدمات صينيين. ذكر سمو كوهونين، مؤسس ومدير تنفيذي لشركة Defused، أن مصائد الشركة قد تلقت "كمية جيدة" من النشاط الاستغلالي المستهدف الذي بدأ تقريبًا فور الإعلان العام عن الثغرة.

تواصلت Dark Reading مع Fortinet للحصول على تعليق، لكن الشركة لم ترد حتى وقت نشر المقال. تم اكتشاف CVE-2025-64155 والإبلاغ عنها إلى Fortinet بواسطة Horizon3، التي نشرت منشورًا تقنيًا وبيان إثبات مفهوم (PoC) يوم الثلاثاء. يشير كوهونين إلى أن نشاط الاستغلال ضد مصائد Defused بدا أنه يستخدم استغلال PoC الخاص بـ Horizon3.

يقول: "أعتقد أنه من الآمن القول إن PoC قد أثر بشكل كبير على الاستغلال، حيث كانت بعض حمولات الاستغلال مشابهة جدًا لكود [Horizon3] (في بعض المناسبات حتى حرفيًا، وهو أمر مضحك لأن هناك عناصر نائبة في PoC الاستغلال)". شرح زاك هانلي، مهندس الهجمات في Horizon3، في المنشور كيف أن الثغرة نشأت من مشكلة أمان تم التعرف عليها سابقًا تتعلق بخدمة phMonitor الخاصة بـ FortiSIEM.

وفقًا لهانلي، تكمن المشكلة في أن معالجات الأوامر الخاصة بـ phMonitor مكشوفة ومتاحة لأي مستخدم عن بُعد لاستدعائها دون مصادقة. ونتيجة لذلك، يمكن للمهاجمين استغلال هذه المعالجات والاستفادة من وظائف إدارية مثل استرجاع وتعيين كلمات المرور. أدت مشكلة phMonitor إلى ثغرات سابقة أيضًا؛ حيث اكتشف باحثو Horizon3 سابقًا CVE-2024-23108 وCVE-2023-34992، وهما ثغرتان ذات شدة قصوى في FortiSIEM.

كتب هانلي أنه في السنوات السابقة، كانت phMonitor تعرض الكثير من المعالجات لوظائف إدارية ولكنها الآن لديها سطح هجوم أصغر بكثير مع عدد أقل من المعالجات المكشوفة. ومع ذلك، يبدو أن phMonitor قد عادت لتظهر مرة أخرى. حثت Fortinet العملاء الذين لديهم نسخ عرضة من FortiSIEM، من الإصدارات 6.7 إلى 7.4، على التحديث إلى إصدار مُصلح. كإجراء مؤقت، أوصت الشركة بتقييد الوصول إلى phMonitor عبر المنفذ 7900.

مقالات ذات صلة

الأمن السيبراني

قرصنة StealC: الباحثون يستولون على لوحات التحكم للبرمجيات الضارة

منذ ساعتين 3

الأمن السيبراني

هاكر ينشر بيانات حكومية مسروقة على إنستغرام

منذ 3 ساعات 2

الأمن السيبراني

تخفيض التعريفات الجمركية على تايوان بعد اتفاق التجارة

منذ 3 ساعات 4

الأمن السيبراني

زعيم Black Basta يُدرج على قائمة 'الإشعار الأحمر' في الإنتربول

منذ 4 ساعات 6

الأمن السيبراني

دراسة تحذّر: البرمجة المعتمِدة على الذكاء الاصطناعي قد تفتح ثغرات أمنية خطِرة

منذ 4 ساعات 7

الأمن السيبراني

قراصنة مرتبطون بالصين يستغلون ثغرة Sitecore للوصول الأولي

منذ 5 ساعات 6

قمة GISEC GLOBAL 2026

تُعتبر قمة GISEC GLOBAL أكبر وأهم تجمع للأمن السيبراني في منطقة الشرق الأوسط وأفريقيا، حيث تجمع بين كبار مسؤولي الأمن في المؤسسات، وقادة الحكومة، ومشتري التكنولوجيا، والهاكر الأخلاقيين، على مدار ثلاثة أيام مليئة بالابتكار والاستراتيجيات والتدريبات العملية في مجال الأمن السيبراني.

📌 احجز مساحتك الآن!