ثغرات فورتيساندبوكس الحرجة تحت الهجوم: استغلال ثلاث ثغرات بتقييم 9.1 وإحداها مولدة بالذكاء الاصطناعي

CVE-2026-39808: ثغرة حقن أوامر نظام التشغيل

• النوع: حقن أوامر نظام التشغيل (OS Command Injection)
• موجه الهجوم: يمكن لمهاجم غير مصادق عليه تنفيذ أوامر غير مصرح بها عبر إرسال طلبات HTTP مصممة خصيصاً .
• المنتجات المتأثرة: فورتيساندبوكس من الإصدار 4.4.0 حتى 4.4.8، وقد تم تضمين التحديثات في نشرات فورتينت السابقة .

CVE-2026-25089: ثغرة حقن أوامر في واجهة المستخدم

• النوع: حقن أوامر نظام التشغيل (CWE-78)
• موجه الهجوم: تكمن الثغرة في خاصية "start VNC" في واجهة المستخدم على الويب، والتي تمرر مُدخلات JSON غير معقمة مباشرة إلى نظام التشغيل. يمكن لمهاجم غير مصادق عليه عن بُعد تنفيذ أوامر عشوائية عبر طلبات HTTP مصممة خصيصاً .
• الإصدارات المتأثرة:
  • فورتيساندبوكس 5.0.0 حتى 5.0.5
  • فورتيساندبوكس 4.4.0 حتى 4.4.8
  • فورتيساندبوكس 4.2 (جميع الإصدارات)
  • فورتيساندبوكس السحابي (FortiSandbox Cloud) 5.0.4 حتى 5.0.5
  • فورتيساندبوكس كخدمة منصة (PaaS) 5.0.4 حتى 5.0.5
• التصحيح: أصدرت فورتينت نشرة استشارية (FG-IR-26-141) وتحديثات في 9 يونيو 2026. الترقية إلى فورتيساندبوكس 5.0.6 أو أعلى، وفورتيساندبوكس السحابي 5.0.6 أو أعلى، وفورتيساندبوكس PaaS 5.0.6 أو أعلى تُعالج هذه الثغرة .

ملاحظة حول تقييم CVSS: بينما أدرجت بعض المصادر المبكرة في البداية الثغرتين CVE-2026-39808 و CVE-2026-39813 بتقييم 9.8 ، تؤكد التقارير الرسمية الصادرة من NVD و"ديفيوزد" و"بليبينغ كومبيوتر" (BleepingComputer) و"ذا هاكر نيوز" (The Hacker News) في منتصف يونيو بالإجماع على تقييم 9.1 للثغرات الثلاث . يجب على فرق الأمن استخدام تقييم 9.1 بما يتماشى مع معلومات استخبارات التهديدات الحالية.

ماذا تكشف ثغرة CVE-2026-25089 عن استغلال الشيفرات المولدة بالذكاء الاصطناعي

أفادت "ديفيوزد" أن الاستغلال الذي يستهدف CVE-2026-25089 يبدو أنه "vibecoded" — وهو مصطلح يشير إلى أن الشيفرة مرجح أنها مولدة بالذكاء الاصطناعي أو تم تجميعها على عجل، وتفتقر إلى الدقة والموثوقية التي يتمتع بها استغلال احترافي مكتوب يدوياً .

تقدم هذه الملاحظة نافذة نادرة على كيفية تغيير الذكاء الاصطناعي لاقتصاديات استغلال الثغرات:

• خفض حاجز الدخول: يمكن لنماذج الذكاء الاصطناعي إنتاج شيفرات استغلال فعالة بسرعة لأنواع محددة من الثغرات مثل حقن أوامر نظام التشغيل، مما يمكّن جهات فاعلة أقل مهارة من محاولة الهجوم على ثغرات حديثة التصحيح. لا يوجد استغلال عام موثوق ومؤكد لـ CVE-2026-25089، ومع ذلك بدأ الاستغلال في غضون أيام من التصحيح .
• تنفيذ معيب وغير متسق: تستخدم سلسلة الهجوم المرصودة انتحال وكيل مستخدم متصفح قياسي وطلبات HTTP أساسية، ولكن يُقيّم كود الحمولة بأنه "يحتمل أن يكون معيباً مع نتائج تنفيذ غير متسقة" . يتماشى هذا مع الواقع الأوسع للشيفرات المولدة بالذكاء الاصطناعي: غالباً ما تكون صحيحة نحوياً ولكنها هشة منطقياً، خاصة للثغرات التي تتطلب تلاعباً دقيقاً على مستوى البروتوكول.
• هجمات أكثر ضجيجاً وسهولة في الكشف: تولد الاستغلالات المعيبة ضوضاء شبكية وظروف خطأ أكثر من الأدوات الجراحية التي يصممها الإنسان. بالنسبة للمدافعين، يعني هذا أن هذه الهجمات قد تكون أسهل في الاكتشاف من خلال التحليلات السلوكية واكتشاف الشذوذ، حتى وإن ظلت خطيرة بما يكفي للنجاح ضد الأنظمة غير المحدثة .
• توجه مستقبلي محتمل: تُعد ثغرة CVE-2026-25089 دراسة حالة مبكرة. لقد قلل توفر نماذج اللغة الكبيرة الوقت بين إصدار التصحيح ومحاولات الاستغلال الأولى. في حين أن نتائج اليوم غير متسقة، إلا أن المسار يشير إلى تطوير استغلالات بمساعدة الذكاء الاصطناعي أكثر كفاءة في المستقبل القريب.

ما الذي يجب على فرق الأمن فعله الآن

تتميز ثغرات فورتيساندبوكس الثلاث بأنها بدون مصادقة، منخفضة التعقيد، ولا تتطلب تفاعلاً من المستخدم — مما يجعلها أهدافاً مثالية للمسح الآلي والاستغلال الجماعي . وتزداد حساسية فورتيساندبوكس لأن منتجات فورتينت الأخرى، بما في ذلك الجدران النارية وأنظمة اكتشاف نقطة النهاية، قد تعتمد على أحكامها بشأن البرمجيات الخبيثة لإطلاق قرارات حظر آلية .

• التصحيح فوراً: قم بالترقية إلى الإصدارات المُصححة المحددة في نشرة فورتينت الاستشارية FG-IR-26-141 لثغرة CVE-2026-25089، وتأكد من تطبيق تصحيحات CVE-2026-39813 و CVE-2026-39808 (الصادرة في أبريل 2026) .
• عزل واجهة الإدارة: قيّد الوصول إلى واجهة مستخدم فورتيساندبوكس على الويب وواجهة JRPC API من الشبكات غير الموثوقة. لا ينبغي تعريض هذه الواجهات للإنترنت العام .
• البحث عن مؤشرات الاختراق: ابحث عن طلبات HTTP التي تستهدف واجهة مستخدم فورتيساندبوكس بحمولات JSON مصممة بشكل غير معتاد، وراقب سلاسل وكيل المستخدم للمتصفحات القياسية في حركة المرور المتجهة للجهاز .
• افتراض التأثير المتسلسل: إذا كنت تستخدم FortiGate أو FortiAnalyzer أو منتجات فورتينت أخرى مدمجة مع فورتيساندبوكس، فتحقق من أنها تتلقى أحكاماً موثوقة وأنه لم تحدث أي تغييرات غير مصرح بها في التكوين.

حتى 16 يونيو 2026، لم يتم تأكيد أي تأثير على العملاء أو نسب الهجمات إلى جهة تهديد محددة، لكن الفجوة بين إصدار التصحيح والاستغلال النشط في الواقع تؤكد على ضرورة أن تتعامل المؤسسات مع هذه الثغرات المصنفة 9.1 كحوادث ذات أولوية قصوى .