ثغرة FortiClient EMS الخطيرة CVE-2026-35616: استغلال نشط يهدد بنوك SAMA

كشف باحثون في watchTowr عن استغلال نشط لثغرة يوم صفر حرجة في منتج Fortinet FortiClient EMS تحمل الرمز CVE-2026-35616 بتقييم خطورة CVSS 9.1، وذلك قبل أن تصدر Fortinet إرشادها الأمني الرسمي. هذه الثغرة تتيح للمهاجم تنفيذ أوامر على الخادم دون أي بيانات اعتماد صالحة، مما يضع المؤسسات المالية السعودية التي تعتمد حلول Fortinet لإدارة نقاط النهاية أمام خطر مباشر.

تفاصيل ثغرة CVE-2026-35616 في FortiClient EMS

تكمن الثغرة في خلل بآلية التحكم في الوصول (Improper Access Control) ضمن واجهة API الخاصة بـ FortiClient EMS. يستطيع المهاجم إرسال طلبات مُصاغة خصيصاً لتجاوز طبقات المصادقة والتفويض بالكامل، والوصول إلى تنفيذ أوامر تعسفية على الخادم المستضيف للمنتج. لا تحتاج عملية الاستغلال إلى أي تفاعل من المستخدم أو صلاحيات مسبقة، مما يجعلها من أخطر أنواع الثغرات.

الإصدارات المتأثرة هي FortiClient EMS 7.4.5 و7.4.6، بينما لا تتأثر الإصدارات 7.2 وما قبلها. أصدرت Fortinet تصحيحاً طارئاً (hotfix) يمكن تطبيقه مؤقتاً، مع توقع صدور التصحيح الكامل في الإصدار 7.4.7.

الجدول الزمني للاستغلال: يوم صفر حقيقي

رصدت مستشعرات watchTowr's Attacker Eye أولى محاولات الاستغلال في 31 مارس 2026، أي قبل أربعة أيام من نشر Fortinet لإرشادها الأمني في 4 أبريل 2026. هذا يؤكد أن الثغرة كانت هجوم يوم صفر حقيقي، حيث استغلها المهاجمون في بيئات إنتاجية قبل توفر أي تصحيح. أضافت وكالة CISA الأمريكية الثغرة إلى قائمة الثغرات المُستغلة المعروفة (KEV) في 6 أبريل 2026، كما ظهر كود استغلال تجريبي (PoC) على GitHub مما يزيد من خطورة الوضع.

لماذا تمثل هذه الثغرة تهديداً مباشراً لبنوك SAMA؟

يُعد FortiClient EMS أداة مركزية لإدارة نقاط النهاية في كثير من المؤسسات المالية السعودية، حيث يتحكم في سياسات الحماية وتوزيع التحديثات على أجهزة الموظفين والفروع. اختراق خادم EMS يعني سيطرة كاملة على البنية التحتية لنقاط النهاية: تعطيل حماية الأجهزة، نشر برمجيات خبيثة على نطاق واسع، أو سرقة بيانات اعتماد المستخدمين.

من منظور إطار SAMA CSCC، تمس هذه الثغرة عدة ضوابط جوهرية: إدارة الثغرات الأمنية (Vulnerability Management)، وأمن نقاط النهاية (Endpoint Security)، وإدارة التصحيحات (Patch Management)، والاستجابة للحوادث (Incident Response). كما يتطلب إطار NCA ECC من المؤسسات تطبيق التصحيحات الحرجة خلال إطار زمني محدد، وأي تأخر في معالجة ثغرة بهذه الخطورة قد يُعرّض المؤسسة لمخالفات تنظيمية.

سيناريوهات الاستغلال في القطاع المالي

يمكن للمهاجم الذي يستغل هذه الثغرة تنفيذ عدة سيناريوهات خطيرة: أولاً، نشر فدية (Ransomware) على جميع نقاط النهاية المُدارة عبر EMS دفعة واحدة، مما يشل عمليات البنك بالكامل. ثانياً، تعطيل حلول EDR/AV على الأجهزة المُدارة لتمهيد الطريق لهجمات أكثر تعقيداً. ثالثاً، استخراج بيانات اعتماد Active Directory المخزنة في EMS للتحرك الجانبي داخل الشبكة والوصول إلى الأنظمة المصرفية الأساسية.

التوصيات والخطوات العملية العاجلة

1. تطبيق التصحيح الطارئ فوراً: نزّل وطبّق hotfix من Fortinet على جميع خوادم FortiClient EMS 7.4.5 و7.4.6 دون انتظار الإصدار الكامل 7.4.7. إذا تعذر التصحيح الفوري، اعزل خادم EMS عن الإنترنت المباشر.
2. مراجعة سجلات الوصول: افحص سجلات API الخاصة بـ FortiClient EMS للفترة من 25 مارس وحتى الآن، وابحث عن طلبات غير طبيعية أو محاولات وصول من عناوين IP غير معروفة. مؤشرات الاختراق (IoCs) متوفرة في تقرير watchTowr.
3. تقييد الوصول الشبكي: تأكد من أن واجهة إدارة EMS وAPI لا يمكن الوصول إليهما إلا من شبكات الإدارة المعتمدة عبر قواعد جدار الحماية، وليس من الإنترنت العام أو شبكات المستخدمين.
4. تفعيل المراقبة المعززة: أضف قواعد كشف مخصصة في SIEM لرصد أي نشاط مشبوه على خادم EMS، بما في ذلك إنشاء عمليات جديدة أو اتصالات شبكية غير متوقعة.
5. إخطار فريق الاستجابة للحوادث: إذا وجدت أي مؤشرات اختراق، فعّل خطة الاستجابة للحوادث فوراً وفقاً لمتطلبات SAMA CSCC، بما في ذلك إخطار البنك المركزي خلال الإطار الزمني المحدد.
6. تقييم بدائل الطوارئ: ضع خطة احتياطية لإدارة نقاط النهاية في حال اضطررت لإيقاف FortiClient EMS مؤقتاً، مثل تفعيل سياسات GPO محلية أو أدوات إدارة بديلة.

الخلاصة

ثغرة CVE-2026-35616 في FortiClient EMS تمثل تهديداً استثنائياً لأنها تجمع بين سهولة الاستغلال عن بُعد دون مصادقة، وبين تأثير كارثي على البنية التحتية لنقاط النهاية. المؤسسات المالية السعودية التي تعتمد هذا المنتج يجب أن تتعامل مع هذه الثغرة بأولوية قصوى، ليس فقط لحماية أنظمتها بل أيضاً للامتثال لمتطلبات SAMA CSCC وNCA ECC في إدارة الثغرات والاستجابة للحوادث.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، بما في ذلك مراجعة شاملة لأمن نقاط النهاية وإدارة الثغرات.