أصدرت شركة Fortinet تحذيراً عاجلاً لعملائها بشأن ثغرة أمنية خطيرة في منصة FortiSIEM، مؤكدة وجود كود استغلال نشط متداول في البرية، ما يجعلها من أبرز المخاطر السيبرانية الحالية.
تفاصيل الثغرة ومستوى خطورتها
تم تصنيف الثغرة تحت الرمز CVE-2025-25256 وحصلت على تقييم خطورة 9.8 من أصل 10 وفق مقياس CVSS. وأوضحت Fortinet أن الخلل يتمثل في ثغرة حقن أوامر نظام التشغيل (OS Command Injection) والتي تسمح للمهاجمين غير الموثقين بتنفيذ أوامر أو تعليمات برمجية غير مصرح بها عبر طلبات CLI مصممة خصيصاً.
الإصدارات المتأثرة والحلول المقترحة
تشمل الإصدارات المتأثرة:
-
FortiSIEM 6.1 حتى 6.6 (يلزم الترقية إلى إصدار مُعالج)
-
FortiSIEM 6.7.0 حتى 6.7.9 (الترقية إلى 6.7.10 أو أعلى)
-
FortiSIEM 7.0.0 حتى 7.0.3 (الترقية إلى 7.0.4 أو أعلى)
-
FortiSIEM 7.1.0 حتى 7.1.7 (الترقية إلى 7.1.8 أو أعلى)
-
FortiSIEM 7.2.0 حتى 7.2.5 (الترقية إلى 7.2.6 أو أعلى)
-
FortiSIEM 7.3.0 حتى 7.3.1 (الترقية إلى 7.3.2 أو أعلى)
-
FortiSIEM 7.4 (غير متأثر)
وأوصت Fortinet المؤسسات المتضررة بضرورة الحد من الوصول إلى منفذ phMonitor (المنفذ 7900) كإجراء وقائي إضافي لحين تثبيت التحديثات الأمنية.
استغلال نشط وقلق متزايد
أكدت الشركة أن كود الاستغلال المتعلق بهذه الثغرة تم رصده في البرية، لكنها لم تكشف تفاصيل حول طبيعته أو مصادره. كما نبهت إلى أن الاستغلال لا ينتج مؤشرات اختراق واضحة (IoCs)، ما يزيد من صعوبة كشف الهجمات.
تصاعد التهديدات المرتبطة بمنتجات Fortinet
يأتي هذا التحذير في وقت رصدت فيه شركة GreyNoise ارتفاعاً كبيراً في محاولات brute-force تستهدف أجهزة Fortinet SSL VPN، حيث تم تسجيل نشاط لعشرات عناوين الـ IP من الولايات المتحدة وكندا وروسيا وهولندا وهي تفحص الأجهزة المنتشرة عالمياً.
