ثغرة FortiClient EMS CVE-2026-21643: حقن SQL بدون مصادقة يُستغل الآن ويهدد إدارة الأجهزة في المؤسسات المالية

قبل أيام قليلة، بدأ المهاجمون في استغلال ثغرة حرجة في نظام Fortinet FortiClient EMS — وهو الحل المعتمد لإدارة نقاط النهاية في مئات المؤسسات المالية حول العالم. الثغرة المُصنّفة CVE-2026-21643 بدرجة خطورة CVSS 9.1 تُمكّن أي مهاجم من الوصول إلى قاعدة البيانات الخلفية دون الحاجة إلى أي بيانات اعتماد، مما يعني أن كل بيانات المسؤولين وسياسات الأمن وشهادات الأجهزة المُدارة في خطر حقيقي ومباشر.

ما هي ثغرة CVE-2026-21643 وما آلية عملها؟

الثغرة هي حقن SQL من نوع pre-authentication تقع في نقطة النهاية /api/v1/init_consts في FortiClient EMS الإصدار 7.4.4 عند تفعيل وضع Multi-Tenant. المشكلة الجوهرية أن قيمة رأس HTTP المُسمى Site — المستخدمة لتحديد المستأجر الذي ينتمي إليه الطلب — تُمرَّر مباشرةً إلى استعلام قاعدة البيانات PostgreSQL دون أي تعقيم أو تصفية، وهذا يحدث قبل أي خطوة من خطوات التحقق من الهوية. يكفي المهاجم إرسال طلب HTTP واحد يحتوي على رأس مُعدَّل مثل Site: x'; SELECT pg_sleep(4)-- لاستدراج قاعدة البيانات وتنفيذ أوامر اعتباطية بداخلها. علاوة على ذلك، تعيد هذه النقطة رسائل خطأ قاعدة البيانات مباشرةً في الاستجابة، مما يجعل عملية استخراج البيانات آلية وسريعة دون أي قيود على عدد المحاولات.

ماذا يستطيع المهاجم الوصول إليه؟

الاستغلال الناجح لهذه الثغرة يمنح المهاجم وصولاً كاملاً إلى محتويات قاعدة بيانات FortiClient EMS، وهو ما يتضمن بيانات اعتماد حسابات المسؤولين المُخزَّنة، وجرد كامل بأسماء الأجهزة المُدارة وإصداراتها وتفاصيل اتصالها، وسياسات الأمن المُطبَّقة على كل جهاز، فضلاً عن الشهادات الرقمية المستخدمة للمصادقة بين الأجهزة والخادم. في الهجمات الأكثر تطوراً، يمكن استخدام حقن SQL لتنفيذ أوامر على مستوى نظام التشغيل عبر وظائف PostgreSQL مثل COPY TO/FROM PROGRAM، مما يحول الاختراق من سرقة بيانات إلى سيطرة كاملة على خادم الإدارة. رُصدت أولى محاولات الاستغلال الفعلي قادمةً من عنوان IP المُصنَّف خطراً 104.192.92[.]135.

التأثير المباشر على المؤسسات المالية السعودية

تعتمد كثير من البنوك وشركات التأمين ومؤسسات السوق المالية في المملكة العربية السعودية على حلول Fortinet ضمن بنيتها الأمنية، سواء للتحكم في الوصول إلى الشبكة (NAC) أو لإدارة عميل الشبكة الافتراضية الخاصة (VPN) على محطات العمل والأجهزة المحمولة. اختراق خادم FortiClient EMS يعني أن المهاجم يملك مفاتيح إدارة آلاف الأجهزة دفعةً واحدة، وهو سيناريو يتعارض بشكل صريح مع متطلبات SAMA CSCC في المجالين 3-3 (إدارة الأصول) و3-5 (إدارة نقاط النهاية)، كما يتناقض مع ضوابط NCA ECC المتعلقة بحماية محطات العمل والأجهزة. من منظور PDPL، فإن الكشف عن بيانات المسؤولين أو سجلات الأجهزة قد يُشكّل خرقاً للبيانات يستوجب إبلاغ هيئة الاتصالات وتقنية المعلومات خلال 72 ساعة، وفق التعديلات التشغيلية لعام 2026.

التوصيات والخطوات العملية

1. الترقية الفورية: رفع FortiClient EMS إلى الإصدار 7.4.5 الذي أصدرته Fortinet يتضمن التصحيح الكامل لهذه الثغرة. الإصدار 7.4.4 هو الوحيد المتأثر، والإصدارات الأقدم آمنة من هذا الناقل تحديداً.
2. التحقق من وضع Multi-Tenant: الثغرة تؤثر فقط على النشر بوضع المستأجرين المتعددين. إذا كانت بيئتك تعمل بموقع واحد (Single-Site)، فإن ناقل الهجوم هذا لا ينطبق — مع الأهمية الحفاظ على الترقية كممارسة أمنية أساسية.
3. التحقق من الاختراق: مراجعة سجلات خادم EMS بحثاً عن طلبات HTTP موجهة إلى /api/v1/init_consts تحتوي على قيم غير اعتيادية في رأس Site، وبخاصة تلك التي تحتوي على علامات اقتباس مفردة أو كلمة SELECT أو pg_sleep.
4. عزل الخادم مؤقتاً: إذا تعذّرت الترقية الفورية، يُنصح بعزل خادم EMS خلف جدار حماية بحيث لا يكون منفذه متاحاً من الإنترنت أو من شبكات غير موثوقة.
5. تدوير بيانات الاعتماد: في حال وجود أي مؤشر على استغلال سابق، يجب تدوير جميع كلمات مرور حسابات المسؤولين في EMS وإلغاء الشهادات المعرّضة للخطر وإعادة إصدارها.
6. مراجعة التوافق مع SAMA CSCC: توثيق خطوات المعالجة والتوقيت ضمن سجل إدارة الثغرات (Vulnerability Register) لإثبات الامتثال التشغيلي خلال أي مراجعة قادمة من SAMA.

الخلاصة

CVE-2026-21643 نموذج صارخ على مدى سرعة تحوّل الثغرات المكتشفة إلى أدوات هجوم فعلية — فلم تمضِ أيام على بدء الاستغلال الميداني. المؤسسات المالية التي تعتمد FortiClient EMS لإدارة أجهزتها تواجه نافذة خطر ضيقة للغاية، وكل يوم تأخير في الترقية هو فرصة إضافية للمهاجمين. القاعدة الأولى في إدارة الثغرات أن الأصول الحيوية كخوادم إدارة نقاط النهاية يجب أن تحظى بأعلى أولوية في دورة التصحيح (Patch Cycle)، وهو ما تؤكده متطلبات SAMA CSCC صراحةً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وللتحقق من سلامة بنيتك التحتية الأمنية.