في عالم الأمن السيبراني، تكشف شركة فورتينت عن ثغرة جديدة من نوع zero-day في منتجها FortiWeb، مما يثير القلق بشأن ممارسات الكشف والأمان.
أعلنت شركة فورتينت يوم الثلاثاء عن وجود ثغرة جديدة من نوع zero-day في خط منتجات FortiWeb، وذلك بعد أقل من أسبوع من الكشف عن ثغرة مختلفة في جدار الحماية لتطبيقات الويب (WAF) التي تم استغلالها في العالم.
تعتبر CVE-2025-58034 ثغرة في تنفيذ أوامر نظام التشغيل، وإذا تم استغلالها، فإنها تسمح لمهاجم مصرح له بتشغيل كود على WAF من خلال طلبات HTTP مصممة أو أوامر CLI. وتعتبر هذه الثغرة متوسطة الخطورة، حيث حصلت على درجة 6.7 على مقياس CVSS، وتعود إلى عدم تحييد العناصر الخاصة بشكل صحيح، وفقًا لتوجيهات فورتينت.
يأتي هذا الكشف بعد ثغرة أخرى في FortiWeb، التي تم تتبعها على أنها CVE-2025-64446. وتم الكشف عن هذه الثغرة في 14 نوفمبر، مما أثار اتهامات بالتحديث الصامت من قبل بائعي الأمن السيبراني والمهنيين في مجال أمن المعلومات.
أثارت CVE-2025-58034 مزيدًا من التساؤلات حول ممارسات الكشف لدى فورتينت. كما أنها الأحدث في سلسلة من الثغرات المستغلة والتهديدات الأمنية لشركة الأمن الشبكي، التي أصبحت مستهدفة بشكل متزايد في السنوات الأخيرة حيث تحول كل من المجرمين السيبرانيين والجهات الفاعلة من الدول إلى الأجهزة الطرفية مثل الشبكات الافتراضية الخاصة وجدران الحماية.
هل الثغرات Zero-Day في FortiWeb مرتبطة؟
ليس من الواضح ما إذا كانت الثغرة الجديدة من نوع zero-day ناتجة عن نشاط الاستغلال لـ CVE-2025-64446 الذي أكدته فورتينت الأسبوع الماضي. لا تقدم التوجيهات الخاصة بـ CVE-2025-58034 أي تفاصيل حول نطاق ومصدر الهجمات. وقد تواصلت Dark Reading مع فورتينت للتعليق، لكن الشركة لم تستجب في وقت النشر.
ومع ذلك، قالت شركة Orange Cyberdefense الفرنسية يوم الأربعاء في سلسلة من المنشورات على منصة التواصل الاجتماعي X إن “عدة حملات استغلال” تستهدف CVE-2025-58034 في هجمات متسلسلة مع CVE-2025-64446.
أشادت فورتينت بالباحث في Trend Micro، جيسون مكفاديان، لتبليغه عن CVE-2025-58034. وفي بيان لـ Dark Reading، قالت فريق البحث في Trend Micro إنه تم رصد حوالي 2000 اكتشاف لنشاط الاستغلال، وأن الثغرة تم اكتشافها أثناء مراجعة الباحثين لمشكلة قديمة في FortiWeb.
“استنادًا إلى تحليلنا الحالي، فإن الثغرتين هما مشكلتان منفصلتان،” جاء في البيان. “على الرغم من أنهما غير مرتبطتين بشكل مباشر، إلا أن المهاجمين يمكنهم ربط الثغرات عند الإمكان، لذا يجب تصحيح كلاهما لتقليل المخاطر العامة.”
في هذه الأثناء، نشرت Rapid7 اليوم تحليلًا تقنيًا لـ CVE-2025-58034 الذي أشار إلى أن الثغرة تم تصحيحها في تحديث قبل الكشف عنها للجمهور – تمامًا كما كانت CVE-2025-64446.
“تم الكشف عن الثغرتين في غضون أيام من بعضهما البعض. وقد تم تصحيح كلا الثغرتين من قبل البائع في تحديثات المنتج السابقة ودون الكشف في وقت التصحيح،” لاحظت Rapid7 في التحليل الفني. “هناك فائدة واضحة من ربط تجاوز المصادقة مع تنفيذ أوامر مصرح بها. بالنظر إلى كل هذه الأمور، يبدو من المحتمل جدًا أن تشكل الثغرتين سلسلة استغلال لتنفيذ كود عن بعد غير مصرح به ضد أجهزة FortiWeb المعرضة للخطر.”
كما أشار Rapid7 إلى مشكلة أخرى. استنادًا إلى تحليل التصحيح، لاحظ الباحثون في Rapid7 أنهم أضافوا منطق تحقق جديد إلى وظائف متعددة في FortiWeb. ونتيجة لذلك، تم تصحيح عدة عمليات تنفيذ أوامر، ولكن تم تعيين CVE واحد فقط.
“يعمل نظام CVE بشكل أفضل عندما يتم تعيين ثغرة واحدة ذات سبب جذر واحد معرفًا واحدًا من CVE،” قالت Rapid7. “إنه غير مفيد تعيين ثغرات متعددة عبر قاعدة كود مع معرف CVE واحد، حيث لا يمكن للمحامين تحديد الثغرة التي يتم استغلالها بشكل صحيح (على سبيل المثال، قد تختلف حركة المرور أو مؤشرات الالتقاط اعتمادًا على الثغرة المحددة التي يتم استغلالها)، مما قد يكون ضارًا للكشف والتصحيح.”
التخفيف والدفاع
أضافت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) يوم الثلاثاء CVE-2025-58034 إلى كتالوج الثغرات المعروفة المستغلة (KEV). نظرًا للهجمات المستمرة من نوع zero-day ضد CVE-2025-64446، “يوصى بجدول زمني مخفض للتصحيح مدته أسبوع واحد،” قالت CISA في تنبيهها. بموجب التوجيه التشغيلي الملزم (BOD) 22-01، عادة ما تعطي CISA الوكالات الفيدرالية مهلة مدتها أسبوعين لتصحيح الثغرات الجديدة المضافة إلى KEV.
أوصت Orange Cyberdefense عملاء فورتينت بتحديث جدران الحماية الخاصة بهم إلى إصدار ثابت – FortiWeb إصدارات 8.0.2، 7.6.6، 7.4.11، 7.2.12، و7.0.12 – وعدم كشف واجهات إدارة FortiWeb الخاصة بهم على الإنترنت. بالإضافة إلى ذلك، يجب على المنظمات مراقبة حسابات المستخدمين الجديدة التي تم إنشاؤها.
توصي الوكالات الأمنية بتحديث الأنظمة والتأكد من عدم تعرض واجهات الإدارة للخطر. يجب على المؤسسات أن تكون يقظة لمواجهة التهديدات المتزايدة.
