نظرة عامة على الثغرة: CVE-2024-48887
تحمل الثغرة رقم التتبع CVE-2024-48887، وتم تصنيفها بدرجة خطورة حرجة، حيث حصلت على درجة CVSS تبلغ 9.3 من 10، مما يجعلها من أعلى درجات الخطورة الممكنة في معايير تقييم الثغرات.

وقالت Fortinet في بيان أمني رسمي:

“ثغرة تغيير كلمة المرور غير المؤكدة (CWE-620) في واجهة FortiSwitch الرسومية (GUI) قد تسمح لمهاجم بعيد وغير مصادق بتعديل كلمات مرور المسؤولين عبر إرسال طلبات خبيثة مُعدة بعناية.”

الإصدارات المتأثرة من FortiSwitch
تشمل الثغرة عددًا من الإصدارات المختلفة من FortiSwitch، وهي كالتالي:

الإصدار المتأثر التحديث الموصى به
FortiSwitch 7.6.0 التحديث إلى 7.6.1 أو أحدث
FortiSwitch 7.4.0 – 7.4.4 التحديث إلى 7.4.5 أو أحدث
FortiSwitch 7.2.0 – 7.2.8 التحديث إلى 7.2.9 أو أحدث
FortiSwitch 7.0.0 – 7.0.10 التحديث إلى 7.0.11 أو أحدث
FortiSwitch 6.4.0 – 6.4.14 التحديث إلى 6.4.15 أو أحدث
ما هو FortiSwitch؟
FortiSwitch هو منتج من سلسلة أجهزة الشبكات المدارة (Managed Switches) التابعة لفورتينت، ويُستخدم على نطاق واسع في المؤسسات الصغيرة والمتوسطة والكبيرة. يتميز بالتكامل السلس مع باقي حلول Fortinet مثل FortiGate وFortiLink، ويوفر مستوى عالٍ من أمان الشبكات ومرونة التوزيع.

تفاصيل الثغرة التقنية وخلفيتها
تم اكتشاف الثغرة داخليًا من قبل Daniel Rozeboom، وهو عضو في فريق تطوير واجهة الويب الخاصة بـ FortiSwitch. وأفادت الشركة بأن الخطأ يكمن في أن النظام لا يتحقق بشكل صحيح من هوية المستخدم عند تنفيذ طلب تغيير كلمة المرور عبر واجهة الويب (GUI)، ما يسمح لأي جهة خارجية بإرسال طلب HTTP/HTTPS خبيث لتغيير كلمة مرور المسؤول دون الحاجة لتسجيل الدخول.

كيفية الاستغلال:
يقوم المهاجم بإرسال طلب HTTP مُعد خصيصًا (Crafted Request)

يستغل الخلل في التحقق من صلاحيات المستخدم

يتم تنفيذ الطلب وتغيير كلمة مرور المدير

يمكن للمهاجم الاستيلاء الكامل على الجهاز لاحقًا

إجراءات التخفيف المؤقتة (Workarounds)
حتى يتم تطبيق التحديثات، توصي Fortinet باتباع الإجراءات التالية:

تعطيل الوصول عبر HTTP/HTTPS إلى واجهات الإدارة الخاصة بـ FortiSwitch

تقييد الوصول إلى الجهاز ليكون فقط من عناوين IP موثوقة (Trusted Hosts)

هل تم استغلال الثغرة؟
حتى تاريخ النشر، لا توجد دلائل على أن الثغرة قد تم استغلالها فعليًا في هجمات واقعية. ومع ذلك، تشتهر منتجات Fortinet بكونها هدفًا متكررًا لمهاجمين متقدمين (APT Groups)، وبعض الثغرات السابقة قد استُغلت بالفعل في حملات تخريب إلكتروني.

لذا، فإن تطبيق التحديثات الأمنية بشكل فوري أمر بالغ الأهمية لتفادي أي استغلال محتمل في المستقبل.

خلفية: Fortinet والثغرات الأمنية
شهدت Fortinet خلال السنوات الأخيرة سلسلة من الثغرات الأمنية الخطيرة في منتجاتها مثل FortiGate، FortiAnalyzer، FortiProxy وغيرها. وقد استغل بعض المهاجمين تلك الثغرات لتثبيت برمجيات خبيثة، تنفيذ أوامر عن بُعد، أو حتى تنفيذ هجمات فدية.

وقد دفع هذا الواقع الشركة إلى تعزيز برامج الكشف الداخلي، وتبني سياسة “الإفصاح المسؤول” عن الثغرات الأمنية بالتعاون مع الباحثين الأمنيين.