CVE-2026-35616: برمجية سرقة معلومات FortiClient EMS تضرب شبكات المؤسسات
حملة هجوم جديدة رُصدت في مايو 2026 تستهدف مؤسسات الشركات عبر ثغرة أمنية حرجة في خادم إدارة FortiClient المؤسسي (EMS) من Fortinet. الثغرة، المُسجلة برقم CVE-2026-35616، تسمح للمهاجمين بتجاوز المصادقة بالكامل وتنفيذ أوامر إدارية دون حيازة أي اعتماد صالح. والنتيجة هي هجوم مؤسسي عبر برمجية سرقة معلومات FortiClient EMS يصل إلى الأجهزة الطرفية المُدارة على نطاق واسع، مما يعرض بيانات الموظفين والمؤسسة الحساسة لخطر كبير.
ليس هذا اختراقًا ضيّقًا ومستهدفًا. فنظرًا لأن FortiClient EMS يقع في قلب إدارة الأجهزة الطرفية للمؤسسات الكبيرة، فإن استغلالًا واحدًا ناجحًا يمكن أن يتسلل عبر كل جهاز يُديره الخادم.
ما الذي تتيحه CVE-2026-35616 للمهاجمين داخل شبكات المؤسسات
صُمم FortiClient EMS ليمنح مسؤولي تكنولوجيا المعلومات تحكمًا مركزيًا في سياسات أمان الأجهزة الطرفية، وتهيئات الشبكات الخاصة الافتراضية (VPN)، وعمليات نشر البرامج عبر أسطول الشركة. هذا النطاق الإداري الواسع هو بالضبط ما يجعل CVE-2026-35616 بهذه الخطورة.
من خلال استغلال ثغرة تجاوز المصادقة، يكتسب المهاجمون القدرة على انتحال شخصية فاعلين إداريين شرعيين على الخادم. ومن هذا الموقع، يمكنهم دفع البرامج إلى الأجهزة المُدارة، وتعديل تهيئات الأجهزة الطرفية، وتنفيذ الأوامر عن بُعد دون إطلاق إجراءات التحقق المعيارية التي كانت ستنبه فرق الأمان في الظروف العادية. في حملة مايو 2026، استخدم المهاجمون هذا الوصول لتوصيل برمجية سرقة معلومات مُقنَّعة على هيئة رقعة شرعية من Fortinet، مما يشكل طبقة خداع اجتماعي تجعل الحمولة الخبيثة تبدو كصيانة روتينية لكل من الدفاعات الآلية والمُراقبين البشريين.
أصدرت Fortinet إصلاحات عاجلة تعالج الثغرة في أبريل 2026 بعد اكتشاف استغلالها كهجوم يوم صفر في البرية. المؤسسات التي لم تطبق بعد تلك الرقع لا تزال مُعرضة.
ما البيانات الشخصية وبيانات الاعتماد التي تحصّدها برمجيات سرقة المعلومات من أجهزة الشركات
بمجرد أن تعمل برمجية سرقة المعلومات على جهاز طرفي، يصبح نطاقها واسعًا. صُممت برمجيات سرقة المعلومات الحديثة لسحب أي شيء يُخزَّن محليًا أو يمر عبر الجهاز: بيانات اعتماد المتصفح المحفوظة، وملفات تعريف الارتباط للجلسة، وبيانات الملء التلقائي، وكلمات المرور المخزنة من مُديري كلمات المرور، واعتمادات الشبكات الخاصة الافتراضية (VPN)، ورموز حساب البريد الإلكتروني، والملفات التي تطابق أنماطًا مرتبطة بوثائق حساسة.
على جهاز الشركة، يخلق هذا مشكلة خصوصية مركّبة. كثيرًا ما يستخدم الموظفون أجهزة العمل لأداء مهام تمتزج فيها الحدود الشخصية والمهنية. يمكن لجهاز واحد مخترق أن يُسفر عن اعتمادات تسجيل دخول لكل من أنظمة الشركة والحسابات الشخصية التي صادف أن وصل إليها الموظف على ذلك الجهاز. وتُعَد ملفات تعريف الارتباط للجلسة ضارة بشكل خاص لأنها تسمح للمهاجمين بالمصادقة بهوية الضحية دون الحاجة إلى كلمة مرور إطلاقًا، متجاوزةً المصادقة متعددة العوامل في كثير من الحالات.
آلية التوصيل عبر طبقة الإدارة تزيد الوضع سوءًا. فنظرًا لأن الحمولة تصل عبر قناة إدارية موثوقة، فإن أدوات كشف التهديدات على الأجهزة الطرفية التي تعتمد على إشارات سلوكية من طبقة المستخدم قد لا تلتقطها في مرحلة التسليم الأولى.
يشترك هذا الهجوم في تشابه بنيوي مع حملات أخرى تستخدم قنوات البرامج الموثوقة كوسيلة توصيل. أساليب الخداع الاجتماعي التي تُقنّع البرمجيات الخبيثة في صورة أدوات شرعية أصبحت سمة متكررة عبر مجموعات تهديد عدة في عام 2026، مما يؤكد كيف يستغل المهاجمون باستمرار الفجوة بين ما يبدو شرعيًا وما هو في الواقع كذلك.
لماذا تشكل اختراقات أدوات إدارة المؤسسات خطرًا على خصوصية الموظفين على نطاق واسع
تركز معظم نقاشات اختراق البيانات على طبقة قاعدة البيانات أو التطبيق. تسلط حملة FortiClient EMS الضوء على خطر مختلف لا يُقدَّر حق قدره: الاختراق على مستوى بنية الإدارة التحتية.
عندما يتحكم المهاجم في الأداة التي تدير الأجهزة الطرفية بدلًا من جهاز طرفي واحد، يتمدد نطاق الضرر بشكل كبير. فبدلًا من اختراق جهاز موظف واحد، يصبح كل جهاز يتبع هذا الخادم EMS هدفًا محتملًا. بالنسبة للمؤسسات الكبيرة، قد يعني ذلك مئات أو آلاف الآلات تتلقى نفس الحمولة الخبيثة في عملية دفع واحدة مُنسَّقة.
يخلق هذا أيضًا مشكلة محددة لخصوصية الموظفين تتميز عن الاختراق التقليدي لقاعدة بيانات مؤسسية. فبرمجيات سرقة المعلومات التي تعمل على أجهزة فردية تلتقط بيانات قد لا تراها المؤسسة نفسها أو تخزّنها مركزيًا أبدًا، بما في ذلك تاريخ التصفح الشخصي، وبيانات اعتماد الحسابات الشخصية، والملفات المحفوظة محليًا التي لم تلمس خادمًا مؤسسيًا قط. لدى الموظفين رؤية محدودة لما تم حصاده من أجهزتهم، وغالبًا ما تُصمَّم عمليات الاستجابة للحوادث المؤسسية المعيارية حول مخازن بيانات مركزية بدلًا من بيانات الأجهزة الطرفية الموزعة.
ما الذي ينبغي للموظفين المهتمّين بالخصوصية وفرق تكنولوجيا المعلومات فعله الآن
بالنسبة لفرق تكنولوجيا المعلومات والأمان، الأولوية الفورية هي الترقيع. أصدرت Fortinet إصلاحات لـ CVE-2026-35616 في أبريل 2026. أي مؤسسة تشغّل FortiClient EMS ولم تطبق هذه الإصلاحات العاجلة ينبغي أن تعتبر الأمر عاجلًا. ينبغي على المؤسسات أيضًا تدقيق سجلات الوصول إلى EMS بحثًا عن إجراءات إدارية شاذة، وخاصة أي عمليات نشر برامج أو تغييرات في التهيئة لم يبادر إليها مسؤولون معروفون.
إلى جانب الترقيع، هذه الحملة دعوة مفيدة لمراجعة الفصل بين بنيتك التحتية للإدارة والشبكة الأوسع. لا ينبغي أن تكون خوادم EMS قابلة للوصول مباشرة من الإنترنت العام دون ضوابط وصول قوية، كما ينبغي أن تتطلب واجهات الإدارة طبقات مصادقة إضافية حتى للمستخدمين الموجودين داخل الشبكة الداخلية.
أما بالنسبة للموظفين الأفراد، فالصورة أكثر تفصيلًا. فرؤيتك لما يعمل على جهاز شركة مُدار محدودة، كما أن سيطرتك على ما إذا كان صاحب العمل قد طبق الرقع ذات الصلة أقل. يمكن لبعض الخطوات العملية أن تقلل من تعرضك الشخصي:
- تجنب تخزين اعتمادات الحسابات الشخصية في المتصفحات على أجهزة العمل. إذا شغّلت برمجية سرقة معلومات، ستكون كلمات المرور المحفوظة هذه من بين أول ما تلتقطه.
- استخدم جهازًا شخصيًا منفصلًا للحسابات الشخصية حيثما أمكن، مما يُبقي حركة المرور تلك بعيدة تمامًا عن البنية التحتية المُدارة من قبل الشركة.
- ضع في اعتبارك استخدام شبكة افتراضية خاصة شخصية (VPN) على جهاز عملك لحركة المرور التي تقع خارج أغراض العمل المؤسسي. الهجمات على مستوى الإدارة كهذه تستهدف القنوات الإدارية وبرمجيات الأجهزة الطرفية؛ إضافة شبكة افتراضية خاصة شخصية تعمل على الجهاز تضيف طبقة من خصوصية حركة المرور المُشفَّرة لتصفحك الشخصي، لا تستطيع حملات برمجيات سرقة المعلومات المُسلَّمة عبر EMS اعتراضها بسهولة على مستوى الشبكة.
- فعِّل مفاتيح أمان الأجهزة أو المصادقة متعددة العوامل المقاومة للتصيد على حساباتك الشخصية الأكثر حساسية. حتى لو التُقطت ملفات تعريف ارتباط الجلسة، فإن الحسابات المحمية بعوامل ثانية مبنية على أجهزة يكون الوصول إليها أصعب بكثير.
حملة الهجوم المؤسسي عبر برمجية سرقة معلومات FortiClient EMS هي تذكير واضح بأن اختراقات البنية التحتية للشركات هي أيضًا أحداث خصوصية شخصية. الترقيع يُغلق الباب المحدد الذي تفتحه CVE-2026-35616، لكن مراجعة وضعك الأمني المؤسسي ونظافة بياناتك الشخصية على الأجهزة المُدارة هو الاستجابة الأكثر ديمومة.
