CVE-2026-35616: استغلال FortiClient EMS عبر تصحيحات مزيفة لإسقاط برمجية EKZ لسرقة المعلومات

CVE-2026-35616: استغلال FortiClient EMS عبر تصحيحات مزيفة لإسقاط برمجية EKZ لسرقة المعلومات

ثغرة أمنية خطيرة في خادم إدارة نقطة النهاية FortiClient من Fortinet يتم استغلالها الآن بنشاط في البرية. تم تعقبها تحت الرقم CVE-2026-35616، ويُستخدم هذا الخلل من قِبل الجهات المهددة لنشر برمجية EKZ لسرقة المعلومات من خلال أسلوب خادع بشكل خاص: تحديث مزيف. تستهدف حملة سرقة الاعتمادات عبر ثغرة FortiClient EMS المؤسسات التي تعتمد على إدارة مركزية لنقاط النهاية، محوّلةً بنيتها التحتية الأمنية إلى ناقل هجوم.

بالنسبة لفرق تكنولوجيا المعلومات والأمن التي تدير قوى عاملة موزعة أو تعمل عن بُعد، لا يمثل هذا تهديدًا نظريًا. سلسلة الهجوم مصممة لتبدو شرعية، وهذا ما يجعلها خطيرة بشكل خاص.

كيف يتم استغلال CVE-2026-35616 في البرية

تحمل CVE-2026-35616 درجة CVSS تبلغ 9.1 وتتيح تجاوز المصادقة المسبقة ورفع الامتيازات داخل FortiClient EMS. عمليًا، يمكن للمهاجمين الوصول إلى خادم الإدارة دون بيانات اعتماد صالحة وتنفيذ أوامر بمستويات امتياز مرتفعة.

ما يميز هذه الحملة عن محاولة الاستغلال التقليدية هو طبقة الهندسة الاجتماعية المغلفة حولها. يقوم ممثلو التهديد بتوصيل تصحيح مزيف متخفٍ في هيئة تحديث شرعي للبرنامج المصاب. عندما يقوم مسؤول أو نقطة نهاية مُدارة بمعالجة هذا التصحيح الاحتيالي، فإنه ينفذ بصمت أوامر PowerShell خبيثة في الخلفية. يرى الضحية ما يبدو أنه تحديث عادي؛ بينما يحصل المهاجم على موطئ قدم.

أصدرت Fortinet إصلاحات عاجلة في أبريل بعد تأكيد استغلال الثغرة باعتبارها ثغرة يوم الصفر، مما يعني أن الهجمات كانت جارية قبل توفر الإصلاح. تظل المؤسسات التي لم تطبق هذه الإصلاحات العاجلة عرضة للخطر، لكن حتى البيئات المُصححة قد تكون معرضة إذا تم تسليم طُعم التصحيح المزيف قبل المعالجة.

ما تسرقه برمجية EKZ لسرقة المعلومات ومن هم المعرضون للخطر

بمجرد تنفيذ أوامر PowerShell الخبيثة، تُنشر برمجية EKZ لسرقة المعلومات على نقطة النهاية المخترقة. هدفها الأساسي هو حصاد بيانات الاعتماد. تستهدف البرمجية الخبيثة على وجه التحديد بيانات الاعتماد المخزنة في المتصفحات، بما في ذلك أسماء المستخدمين وكلمات المرور المحفوظة عبر المتصفحات شائعة الاستخدام، إلى جانب البيانات الحساسة الأخرى التي يمكن الوصول إليها على الجهاز المُدار.

نظرًا لأن FortiClient EMS مُصمم لإدارة نقاط النهاية عبر المؤسسة من وحدة تحكم واحدة، فإن الاختراق الناجح لا يؤثر على جهاز واحد فقط. يمكن للمهاجمين الذين يصلون عبر خادم EMS الوصول المحتمل إلى جميع نقاط النهاية الخاضعة لمظلته الإدارية. وهذا يجعل دائرة انفجار حدث استغلال واحد أكبر بكثير من اختراق جهاز مستقل.

المؤسسات الأكثر عرضة للخطر مباشرةً هي تلك التي تستخدم FortiClient EMS لإدارة القوى العاملة عن بُعد أو الهجينة، حيث تتوزع نقاط النهاية عبر الشبكات المنزلية والمكاتب الفرعية وبيئات أخرى خارج النطاق التقليدي للشركة. غالبًا ما يخزن العاملون عن بُعد بيانات الاعتماد في المتصفحات من أجل الراحة، مما يجعل نقاط النهاية تلك أهدافًا عالية القيمة لبرمجيات سرقة المعلومات.

لماذا لا تكفي أدوات أمن نقطة النهاية وحدها للفرق البعيدة

هناك سخرية مؤلمة مضمنة في هذه الحملة. FortiClient نفسه هو منتج أمني لنقطة النهاية، وخادم إدارته يُستخدم الآن كآلية توصيل للبرمجيات الخبيثة. وهذا يؤكد مبدأً أوسع غالبًا ما تقر به فرق الأمن نظريًا لكنها تكافح لتطبيقه عمليًا: لا توجد أداة أمنية واحدة كافية بمفردها.

منصات أمن نقطة النهاية هي مكونات قيمة في استراتيجية الدفاع، لكنها أيضًا برمجيات، والبرمجيات تحتوي على ثغرات. عندما يتم اختراق أداة إدارة مركزية، يمكنها تحييد الحماية التي كان من المفترض أن تفرضها. يدرك المهاجمون ذلك، ولهذا السبب أصبحت واجهات الإدارة والبنية التحتية الأمنية أهدافًا ذات أولوية عالية.

بالنسبة للفرق البعيدة بشكل خاص، يمتد سطح الهجوم إلى ما هو أبعد من الجهاز المُدار. حركة مرور الشبكة، ونقل بيانات الاعتماد، وتدفقات المصادقة تمر جميعها عبر بيئات لا تتحكم فيها المؤسسة بالكامل. الضوابط متعددة الطبقات، بما في ذلك الحماية على مستوى الشبكة، وسياسات الوصول القائمة على مبدأ "الثقة المعدومة"، وممارسات النظافة القوية لبيانات الاعتماد، هي مكملات ضرورية لأدوات أمن نقطة النهاية، وليست إضافات اختيارية.

يُسلط أسلوب تسليم التصحيح المزيف المستخدم في هذه الحملة الضوء أيضًا على كيفية استغلال عملية التحديث نفسها. إذا تم تعويد الموظفين أو المسؤولين على تثبيت التصحيحات عند الطلب، يمكن للمهاجمين تسليح هذا السلوك. التحقق من صحة التصحيحات من خلال قنوات البائع الرسمية قبل التثبيت هو خطوة حاسمة تحاول هذه الحملة تحديدًا الالتفاف عليها.

كيفية تحصين مؤسستك ضد هجمات التصحيحات المزيفة وبرمجيات سرقة المعلومات

بالنسبة للمؤسسات التي تدير FortiClient EMS، الأولوية الفورية هي تطبيق إصلاحات Fortinet العاجلة الرسمية عبر قنوات التحديث الموثقة فقط. لا تعتمد على المطالبات أو الروابط المقدمة عبر البريد الإلكتروني أو الدردشة أو الواجهات غير المألوفة.

بخلاف التصحيح الفوري، إليك خطوات ملموسة تستحق الأولوية:

• تدقيق نقاط النهاية المُدارة بحثًا عن علامات الاختراق. ابحث عن أحداث تنفيذ PowerShell غير المتوقعة، أو اتصالات صادرة غير اعتيادية، أو أدلة على نشاط حصاد بيانات الاعتماد في مخازن بيانات المتصفح.
• تقييد الوصول إلى خادم الإدارة. لا ينبغي تعريض FortiClient EMS للإنترنت العام دون ضوابط وصول صارمة. قيّد من يمكنه الوصول إلى واجهة الإدارة ومن أين.
• فرض المصادقة متعددة العوامل عبر جميع نقاط الوصول عن بُعد. بيانات الاعتماد المسروقة من المتصفح تكون أكثر خطورة عندما توفر وصولًا مباشرًا إلى أنظمة الشركة. المصادقة متعددة العوامل تكسر هذه السلسلة.
• تثقيف المسؤولين حول تكتيكات التصحيحات المزيفة. هجمات الهندسة الاجتماعية التي تستهدف موظفي تكنولوجيا المعلومات أصبحت شائعة بشكل متزايد. الفرق التي تفهم التكتيك أقل عرضة للوقوع فيه.
• تقييم الضوابط على مستوى الشبكة لنقاط النهاية البعيدة. الأدوات التي تشفر وتصادق حركة المرور من الأجهزة البعيدة تضيف طبقة حماية تُكمل أمن نقطة النهاية، خاصة عندما تكون أداة أمن نقطة النهاية نفسها مخترقة.

حملة CVE-2026-35616 هي تذكير بأن فهم الفرق بين الثغرة المُصححة والتهديد المُخفف بالكامل أمر مهم. حتى بعد تطبيق الإصلاحات العاجلة، تحتاج المؤسسات إلى التحقق مما إذا كان طُعم التصحيح المزيف قد نُفذ بالفعل في بيئتها. توقيت التصحيح والضوابط التكميلية كلاهما جزء من المعادلة، وهذا بالضبط السبب في أن أطر العمل الأمنية تتعامل بشكل متزايد مع حماية نقطة النهاية كطبقة واحدة من بين طبقات عديدة بدلاً من كونها حلاً قائمًا بذاته.

إذا كانت مؤسستك تدير قوة عاملة عن بُعد، فهذا وقت مناسب لتدقيق ليس فقط نشر FortiClient EMS الخاص بك، بل استراتيجية الأمن متعددة الطبقات الأوسع. تحديد الثغرات قبل أن تستغلها الحملة التالية هو وضع أفضل بكثير من الاستجابة بعد أن تكون بيانات الاعتماد قد سُرقت بالفعل.