ثغرة فورتي كلاينت EMS: تهديد خطير يسرق بياناتك السرية

رصد خبراء الأمن الرقمي حملة تخريبية تستغل ثغرة في فورتي كلاينت EMS لنشر برمجيات خبيثة تهدف لسرقة بيانات المستخدمين وكلمات المرور الحساسة عالمياً.

تستمر الجهات التخريبية في استغلال ثغرة أمنية حرجة تم الكشف عنها وتصحيحها مؤخراً، والتي تؤثر على عمليات نشر خادم إدارة النقاط الطرفية (EMS) من شركة فورتي كلاينت. الهدف الرئيسي من هذه الهجمات هو تقديم برمجيات خبيثة متخصصة في سرقة بيانات الاعتماد وكلمات المرور من الأجهزة المصابة.

وفقاً لما تابعه فريق تيكبامين، فإن هذه الحملة تسيء استخدام البنية التحتية الموثوقة لإدارة النقاط الطرفية لتوصيل البرامج الضارة عبر الأجهزة المدارة. يقوم المهاجمون بتمويه حمولة برمجية سرقة البيانات على أنها تحديث شرعي من شركة Fortinet، ويتم تنفيذ هذا الملف الخبيث بصمت عبر أوامر PowerShell.

ما هي ثغرة فورتي كلاينت EMS وكيف تهدد الشركات؟

تتمثل الثغرة المكتشفة في الكود CVE-2026-35616، وهي ثغرة من نوع تجاوز الوصول إلى واجهة برمجة التطبيقات (API) قبل المصادقة، وحصلت على درجة خطورة عالية تصل إلى 9.1 على مقياس CVSS. تكمن خطورتها في أنها تسمح للمهاجم بتصعيد صلاحياته داخل النظام دون الحاجة إلى تسجيل دخول مسبق.

وقد أوضحت التقارير التقنية التي اطلعت عليها تيكبامين أن عملية الاختراق الناجحة تتبعها خطوات مدروسة من قبل المهاجمين، تشمل ما يلي:

• تعديل التكوينات لتأجيل تذكيرات ترقية البرامج الثابتة لعدم لفت الانتباه.
• تغيير إعدادات ملف تعريف الوصول عن بُعد (Remote Access Profile).
• تعديل سياسة النقاط الطرفية لإدراج نص برمي خبيث للتنفيذ التلقائي.
• استخدام مسارات الإدارة الخاصة بنظام FortiClient لتدشين الهجمات.

آلية تنفيذ الهجوم وسرقة البيانات الحساسة

يستخدم المهاجمون نمطاً ذكياً في التنفيذ، حيث يتم استغلال ملف تنفيذي شرعي مرتبط بنظام فورتي كلاينت يُعرف باسم fortitray.exe لتشغيل ملف نصي بصيغة .cmd. هذا الملف الأخير مصمم لاستدعاء نص PowerShell مشفر بتنسيق Base64، وهو المسؤول الفعلي عن تنزيل الحمولة الخبيثة وتنفيذها.

مواصفات البرمجية الخبيثة FortiEndpoint_Patch

البرمجية الخبيثة التي يتم تحميلها تحمل اسم FortiEndpoint_Patch.exe وتتظاهر بأنها تحديث للنظام، لكنها في الواقع سارق بيانات (Information Stealer) متطور يستهدف متصفحات الإنترنت المبنية على Chromium وGecko. وتشمل البيانات المستهدفة:

• كلمات المرور: السرقة المباشرة لكافة كلمات السر المحفوظة في المتصفحات.
• ملفات تعريف الارتباط (Cookies): للاستيلاء على جلسات تسجيل الدخول النشطة.
• بيانات التعبئة التلقائية: بما في ذلك عناوين الشحن وأرقام الهواتف.
• بيانات البطاقات الائتمانية: تفاصيل الدفع المخزنة داخل المتصفح.

يتم كتابة كافة البيانات المسروقة في ملف سجل (log) وحفظها في دليل ProgramData على الجهاز المصاب. ومن المثير للاهتمام أن هذه البرمجية تفتقر إلى ميزة الإرسال المباشر عبر الشبكة، حيث يتولى نص PowerShell مهمة إرسال البيانات المجمعة إلى خادم المهاجم عبر طلب HTTP POST.

كيف تحمي مؤسستك من هذه التهديدات الرقمية؟

تؤكد تيكبامين أن الحل الأمثل لتفادي هذا التهديد هو التحديث الفوري للأنظمة. قامت شركة Fortinet بمعالجة هذه الثغرة في الإصدارات FortiClient EMS 7.4.7 والإصدارات الأحدث. يجب على مسؤولي تكنولوجيا المعلومات التأكد من تطبيق التحديثات الأمنية فور صدورها لضمان عدم وجود ثغرات تسمح بالوصول غير المصرح به.

إن قدرة المهاجمين على تعديل تكوينات الإدارة ودفع الأوامر الخبيثة تجعل كل نقطة طرفية مدارة هدفاً محتملاً للتنفيذ دون الحاجة إلى مسار اختراق منفصل لكل جهاز. لذا، فإن المراقبة المستمرة لسجلات النظام والتحقق من أي تغييرات غير مصرح بها في سياسات الإدارة يعد خط الدفاع الثاني الضروري لحماية البيانات المؤسسية.