أطلق باحثون في الأمن السيبراني تحذيرات عاجلة بشأن ثغرة تجاوز مصادقة في نظام الجدار الناري لتطبيقات الويب Fortinet FortiWeb، يمكن أن تمكّن المهاجم من السيطرة الكاملة على الجهاز عبر الاستحواذ على حسابات المدير. وقال بنيامين هاريس، المؤسس والرئيس التنفيذي لشركة watchTowr، إن الفريق رصد “استغلالًا نشطًا وعشوائيًا” في البرية لثغرة يبدو أنها خضعت لتصحيح صامت في الإصدار 8.0.2، موضحًا أن الاستغلال يستهدف إضافة حسابات مدير جديدة كآلية بقاء بسيطة للمهاجمين. وقد تمكنت الشركة من إعادة إنتاج الثغرة وتطوير نموذج إثبات مفهوم، إلى جانب إصدار أداة لتوليد مخرجات تساعد على تتبع الأجهزة المعرضة للخطر.
آلية الاستغلال: مسار معيـب وتجاوز للمصادقة عبر رأس CGIINFO
وفقًا لمعلومات شاركتها Defused والباحث دانيال كارد من PwnDefend، يعتمد المهاجمون على إرسال حمولة خبيثة عبر طلب HTTP POST إلى المسار ”/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi” بهدف إنشاء حساب مدير. وكشفت التحليلات عن أسماء مستخدمين وكلمات مرور أنشأها المهاجمون على أجهزة مخترقة، منها:
Testpoint / AFodIUU3Sszp5
trader1 / 3eMIXX43
trader / 3eMIXX43
test1234point / AFT3$tH4ck
Testpoint / AFT3$tH4ck
Testpoint / AFT3$tH4ckmet0d4yaga!n
وأوضح الباحث سينا خيرخواه من watchTowr Labs أن الثغرة ناتجة عن تلاقي ثغرتين: الأولى تجاوز مسار عبر طلب HTTP للوصول إلى الملف التنفيذي “fwbcgi”، والثانية تجاوز للمصادقة عبر محتوى رأس CGIINFO، الذي يسمح بانتحال هوية أي مستخدم. ويتضمن الملف التنفيذي “fwbcgi” فحصًا لصحة بيانات JSON الواردة، ثم ينفذ الدالة “cgi_auth()” التي تتيح انتحال هوية مستخدم اعتمادًا على بيانات يوفرها العميل.
وتعمل هذه الآلية عبر أربع خطوات تشمل استخراج رأس CGIINFO، فك تشفير قيمته بصيغة Base64، تحليلها كـ JSON، ثم استخراج مفاتيح أساسية تحدد اسم المستخدم واسم الصلاحية والنطاق الافتراضي ومعرف الدخول. ولأن هذه القيم الخاصة بحساب “admin” ثابتة عبر أجهزة FortiWeb، يستطيع المهاجم ببساطة تمريرها ضمن الطلب لانتحال صلاحيته وتنفيذ أي أوامر ذات امتيازات عالية، بما في ذلك إنشاء مستخدمين جدد بصلاحيات مدير.
مخاطر مستمرة وغياب إعلان رسمي من Fortinet
رُصدت النشاطات الأولى للاستغلال مطلع الشهر الماضي، ولم تنشر Fortinet حتى الآن أي رقم CVE أو تحذير رسمي عبر PSIRT. وقالت شركة Rapid7، التي تحث المؤسسات على معالجة الثغرة فورًا في الإصدارات الأقدم من 8.0.2، إنها لاحظت عرض استغلال يبدو أنه ثغرة يوم صفر targeting FortiWeb للبيع في أحد المنتديات السوداء في 6 نوفمبر 2025، دون وضوح بشأن ما إذا كان الاستغلال ذاته.
وأشار هاريس إلى أن المؤسسات تواجه الآن الإجراءات المعتادة: البحث عن مؤشرات الاختراق السابقة، التواصل مع Fortinet للحصول على تفاصيل إضافية، وتطبيق التحديثات في حال عدم تثبيتها. وأضاف أنه “نظراً للاستغلال العشوائي الواسع… فمن المرجح أن الأجهزة غير المحدثة قد تعرضت للاختراق بالفعل.”
