ثغرة حرجة في FortiClient EMS تُستغل فعلياً: حقن SQL بدون مصادقة يهدد المؤسسات المالية

رصدت فرق استخبارات التهديدات استغلالاً فعلياً لثغرة CVE-2026-21643 في خادم إدارة نقاط النهاية FortiClient EMS من Fortinet، وهي ثغرة حقن SQL حرجة تتيح للمهاجم تنفيذ أوامر عن بُعد دون الحاجة إلى أي بيانات اعتماد. مع الانتشار الواسع لحلول Fortinet في البنية التحتية للمؤسسات المالية السعودية، يمثل هذا الاستغلال تهديداً مباشراً يستوجب استجابة فورية.

تفاصيل الثغرة CVE-2026-21643 وآلية الاستغلال

تكمن الثغرة في خلل بمعالجة المدخلات داخل واجهة الويب الخاصة بـ FortiClient EMS، تحديداً في كيفية تعامل الخادم مع ترويسة "Site" في طلبات HTTP. يستطيع المهاجم الذي يصل إلى واجهة EMS عبر HTTPS إرسال طلب HTTP واحد يحتوي على قيمة ترويسة مُعدّة خصيصاً لتمرير أوامر SQL خبيثة. عند معالجة الخادم لهذه الترويسة، تُنفَّذ الأوامر المحقونة مباشرة على قاعدة بيانات PostgreSQL الأساسية، دون أن يحتاج المهاجم إلى اسم مستخدم أو كلمة مرور.

صنّفت Fortinet هذه الثغرة كحرجة نظراً لسهولة الاستغلال وعدم الحاجة إلى مصادقة مسبقة. النسخة المتأثرة هي FortiClient EMS 7.4.4 مع تفعيل وضع تعدد المستأجرين (multi-tenant mode)، بينما أكدت Fortinet أن فرعي الإصدار 7.2 و8.0 غير متأثرين.

ما الذي يمكن للمهاجم الوصول إليه؟

خطورة هذه الثغرة تتجاوز مجرد الوصول إلى قاعدة البيانات. عند نجاح الاستغلال، يحصل المهاجم على صلاحيات قراءة وتعديل شاملة تشمل: بيانات اعتماد المسؤولين، وقائمة جرد نقاط النهاية المُدارة بالكامل، وسياسات الأمان المطبقة على جميع الأجهزة، والشهادات الرقمية الخاصة بنقاط النهاية المُدارة. هذا يعني أن المهاجم يستطيع فهم البنية الأمنية الكاملة للمؤسسة وتحديد نقاط الضعف قبل شن هجمات أكثر تعقيداً مثل الحركة الجانبية أو نشر برمجيات الفدية.

وفقاً لبيانات منصة Shodan، هناك ما يقارب 1000 خادم FortiClient EMS مكشوف على الإنترنت عالمياً، مما يوسّع سطح الهجوم بشكل كبير. بدأ الاستغلال الفعلي في 26 مارس 2026 وفقاً لبيانات Defused Cyber، مما يعني أن المهاجمين كانوا نشطين لعدة أيام قبل أن تنتشر التحذيرات على نطاق واسع.

التأثير المباشر على المؤسسات المالية السعودية

تُعد حلول Fortinet من أكثر منتجات الأمن السيبراني انتشاراً في المملكة العربية السعودية، خصوصاً في القطاع المالي الخاضع لرقابة مؤسسة النقد العربي السعودي (SAMA). يُستخدم FortiClient EMS كمنصة مركزية لإدارة حماية نقاط النهاية عبر آلاف الأجهزة في البنوك وشركات التأمين وشركات التقنية المالية. اختراق هذا النظام يعني كشف البنية الأمنية الكاملة للمؤسسة أمام المهاجمين.

من منظور الامتثال التنظيمي، يفرض إطار SAMA CSCC متطلبات صارمة لإدارة الثغرات الأمنية ضمن نطاق التحكم 3.3.3 (Vulnerability Management)، ويُلزم المؤسسات بتطبيق التحديثات الأمنية الحرجة خلال إطار زمني محدد. كذلك يشترط إطار NCA ECC ضمن ضوابط إدارة التغيير والتحديثات ضرورة وجود عملية موثقة ومُختبرة لتطبيق الترقيعات الأمنية الطارئة. التأخر في معالجة هذه الثغرة قد يُعرّض المؤسسة لمخالفات تنظيمية إضافة إلى المخاطر التقنية.

التوصيات والخطوات العملية

1. الترقية الفورية إلى FortiClient EMS 7.4.5: هذا هو الإجراء الأهم والأكثر إلحاحاً. إذا كانت مؤسستك تشغّل الإصدار 7.4.4 مع وضع تعدد المستأجرين، يجب تطبيق التحديث خلال 24-48 ساعة كحد أقصى.
2. مراجعة سجلات الوصول لواجهة EMS: افحص سجلات طلبات HTTP الواردة إلى واجهة الإدارة خلال الفترة من 26 مارس حتى الآن، وابحث تحديداً عن طلبات تحتوي على قيم غير اعتيادية في ترويسة "Site".
3. تقييد الوصول الشبكي لواجهة الإدارة: تأكد من أن واجهة FortiClient EMS غير مكشوفة على الإنترنت، وقصر الوصول إليها على شبكات الإدارة الداخلية فقط عبر قواعد جدار الحماية وقوائم التحكم بالوصول (ACLs).
4. تدوير بيانات الاعتماد: بافتراض احتمال الاختراق، قم بتغيير كلمات مرور جميع حسابات إدارة EMS، وأعد إصدار الشهادات الرقمية لنقاط النهاية المُدارة.
5. تفعيل قواعد الكشف في SOC: أضف قواعد كشف مخصصة في نظام SIEM للبحث عن أنماط حقن SQL في حركة المرور الموجهة إلى خوادم FortiClient EMS، مع التركيز على ترويسات HTTP المشبوهة.
6. إجراء فحص شامل لنقاط النهاية: نظراً لأن المهاجم قد يكون حصل على قائمة الأجهزة المُدارة وسياساتها الأمنية، أجرِ فحصاً شاملاً باستخدام أدوات كشف التهديدات المتقدمة (EDR) للتحقق من عدم وجود حركة جانبية.

الخلاصة

ثغرة CVE-2026-21643 في FortiClient EMS تجسّد نمطاً متكرراً نشهده في 2026: استهداف منصات إدارة الأمان المركزية كنقطة دخول استراتيجية. اختراق نظام إدارة نقاط النهاية لا يمنح المهاجم موطئ قدم فحسب، بل يكشف له خارطة البنية الأمنية بالكامل. المؤسسات المالية السعودية التي تعتمد على FortiClient EMS يجب أن تتعامل مع هذا التحديث كأولوية قصوى وليس كتحديث روتيني.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة شاملة لعمليات إدارة الثغرات وتطبيق التحديثات الأمنية الطارئة.