أعلنت شركة فورتينت عن إصدار تحديثات عاجلة خارج الجدول المعتاد لمعالجة ثغرة أمنية خطيرة في نظام إدارة نقاط النهاية FortiClient EMS، تم رصد استغلالها بالفعل في هجمات نشطة. الثغرة، التي تحمل الرمز CVE-2026-35616 وتقييم خطورة 9.1 وفق مقياس CVSS، وُصفت بأنها تجاوز للتحقق من صلاحيات الوصول عبر واجهة API قبل المصادقة، مما يتيح تصعيد الامتيازات بشكل غير مشروع.
ووفقًا لتحذير الشركة، فإن الخلل يتمثل في ضعف في آلية التحكم بالوصول (CWE-284) يسمح لمهاجم غير مصادق بتنفيذ أوامر أو تعليمات برمجية عبر طلبات مصممة خصيصًا.
الإصدارات المتأثرة وخيارات الإصلاح
تؤثر الثغرة على إصدارات FortiClient EMS 7.4.5 و7.4.6، بينما من المتوقع أن يتم سدها بشكل كامل في الإصدار القادم 7.4.7. وحتى ذلك الحين، أصدرت الشركة تصحيحًا مؤقتًا (Hotfix) لمعالجة الخلل بشكل عاجل.
وقد نُسب اكتشاف الثغرة إلى الباحثين الأمنيين Simo Kohonen من فريق Defused Cyber وNguyen Duc Anh، حيث أكد فريق Defused Cyber عبر منصة X أنه رصد استغلالًا فعليًا للثغرة كـ “هجوم يوم صفر” في الأيام الأخيرة. كما سجلت منصات المراقبة الأمنية مثل watchTowr محاولات استغلال ضد أنظمة تجريبية (honeypots) بتاريخ 31 مارس 2026.
خلفية عن الهجمات وتكتيكات المهاجمين
تشير تقارير أمنية إلى أن استغلال الثغرة يتيح للمهاجمين تجاوز آليات المصادقة والتفويض الخاصة بواجهة API، ما يمنحهم القدرة على تنفيذ تعليمات خبيثة أو أوامر غير مصرح بها.
وقد حذرت فورتينت عملاءها قائلة: “لقد رصدنا استغلالًا فعليًا لهذه الثغرة في بيئات حقيقية، ونحث جميع العملاء الذين يستخدمون الإصدارات المتأثرة على تثبيت التصحيح المؤقت فورًا”.
اللافت أن هذه التطورات تأتي بعد أيام قليلة فقط من معالجة ثغرة أخرى خطيرة في نفس المنتج (CVE-2026-21643) والتي تعرضت بدورها لاستغلال نشط. ولا يزال من غير المعروف ما إذا كان نفس المهاجمين يقفون وراء استغلال الثغرتين معًا أو بشكل منفصل.
السياق الأمني الأوسع وتحذيرات الخبراء
يرى خبراء الأمن أن توقيت تصاعد الاستغلال ليس مصادفة، إذ غالبًا ما يستغل المهاجمون عطلات نهاية الأسبوع والأعياد مثل عيد الفصح لتنفيذ هجماتهم، حيث تكون فرق الأمن في حالة ضعف نسبي، والمهندسون المناوبون منشغلون، مما يطيل الفترة بين الاختراق والكشف.
قال Benjamin Harris، الرئيس التنفيذي لشركة watchTowr: “المهاجمون يدركون أن عطلات نهاية الأسبوع تمثل فرصة مثالية، حيث تتراجع قدرة فرق الأمن على الاستجابة السريعة”.
ويضيف الخبراء أن تكرار ظهور ثغرات غير مصادق عليها في FortiClient EMS خلال أسابيع قليلة يثير القلق، ويؤكد ضرورة التعامل مع هذه التهديدات كحالات طوارئ أمنية تستوجب استجابة فورية، لا مجرد مهمة مؤجلة إلى بداية الأسبوع.
