الباب الخلفي عبر Symlink في FortiGate: كيف احتفظ المهاجمون بالوصول إلى 16,000 جدار ناري بعد التصحيح

نُشر في أبريل 14, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

تم اختراق أكثر من 16,620 جدار ناري FortiGate حول العالم من خلال تقنية استمرارية عبر symlink تمنح المهاجمين وصولاً للقراءة فقط إلى إعدادات الأجهزة حتى بعد التصحيح. يستغل الباب الخلفي أدلة ملفات لغة SSL-VPN وأثر على أجهزة عبر ست قارات، مع تضرر آسيا (7,886) وأوروبا (3,766) وأمريكا الشمالية (3,217) بشكل أكبر.

خلاصة: يجب على المؤسسات التي تستخدم FortiGate مع تفعيل SSL-VPN الترقية إلى أحدث إصدار من FortiOS وإعادة تعيين جميع بيانات اعتماد VPN وLDAP وإجراء تحليل جنائي بحثاً عن آثار symlink فوراً، لأن التصحيح وحده لا يُزيل الباب الخلفي.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
▾

جدران الحماية FortiGate منتشرة على نطاق واسع في الجهات الحكومية الجزائرية ومشغلي الاتصالات والمؤسسات المالية. أي مؤسسة تستخدم SSL-VPN على FortiGate معرضة محتملاً.

البنية التحتية جاهزة؟
جزئي
▾

معظم المؤسسات الجزائرية تملك نشرات FortiGate لكنها تفتقر للقدرات الجنائية لكشف استمرارية symlink بعد التصحيح.

المهارات متوفرة؟
منخفض
▾

خبرة الاستجابة للحوادث والتحليل الجنائي للبرامج الثابتة نادرة في الجزائر. عدد قليل من فرق الأمن يمتلك الأدوات لتدقيق أنظمة ملفات FortiOS بحثاً عن الروابط الرمزية.

الجدول الزمني للعمل
فوري
▾

هذا تهديد نشط مع استغلال مؤكد. يجب أن يتم التصحيح وتدوير بيانات الاعتماد الآن، وليس في الدورة الميزانية التالية.

أصحاب المصلحة الرئيسيون
مسؤولو أمن المعلومات، مديرو الشبكات، مديرو تكنولوجيا المعلومات الحكوميون

نوع القرار
تكتيكي
▾

يتطلب هذا استجابة تشغيلية فورية: التحقق من إصدارات البرنامج الثابت، والبحث عن الروابط الرمزية، وتدوير بيانات الاعتماد، والنظر في تعطيل SSL-VPN حتى اكتمال المعالجة.

خلاصة سريعة: يجب على المؤسسات الجزائرية التي تستخدم FortiGate مع تفعيل SSL-VPN التعامل مع هذا الوضع كحالة طوارئ. قوموا بالترقية إلى أحدث إصدار من FortiOS، وأعيدوا تعيين جميع بيانات اعتماد VPN وLDAP، وأجروا تحليلاً جنائياً بحثاً عن آثار الروابط الرمزية. التصحيح وحده لا يكفي؛ افترضوا اختراقاً سابقاً وحققوا وفقاً لذلك.

التصحيح الذي لم يُغلق الباب

كشفت Fortinet في أبريل 2025 أن جهة تهديد طورت تقنية استغلال لاحق مبتكرة للحفاظ على وصول مستمر إلى أجهزة FortiGate لفترة طويلة بعد تصحيح الثغرات الأصلية. تعود حملات الاختراق الأولية إلى 2023، مستغلة ثلاث ثغرات CVE حرجة: CVE-2022-42475 وCVE-2023-27997 وCVE-2024-21762. ما جعل هذا الهجوم استثنائياً ليس الاختراق الأولي بل ما حدث بعده: أنشأ المهاجمون روابط رمزية داخل دليل ملفات لغة SSL-VPN تشير إلى نظام الملفات الجذري للجهاز. ولأن ملفات اللغة هذه متاحة علنياً على الأجهزة المُفعّل عليها SSL-VPN، منح الرابط الرمزي المهاجمين وصولاً مستمراً للقراءة فقط إلى الملفات الحساسة، بما في ذلك الإعدادات وبيانات الاعتماد والشهادات.

أكدت مؤسسة Shadowserver أن 16,620 جهاز FortiGate مكشوفاً على الإنترنت كانت مخترقة بهذا الباب الخلفي حتى أبريل 2025. يكشف التوزيع الجغرافي عن بصمة عالمية: آسيا في المقدمة بـ7,886 جهازاً متأثراً، تليها أوروبا بـ3,766، وأمريكا الشمالية بـ3,217، وأمريكا الجنوبية بـ1,054، وأفريقيا بـ399، وأوقيانوسيا بـ298.

كيف تعمل آلية الاستمرارية عبر Symlink

تستغل هذه التقنية خاصية تصميمية في FortiOS وليس خللاً برمجياً. تخدم أجهزة FortiGate المُفعّل عليها SSL-VPN ملفات اللغة من دليل متاح للمستخدمين. أنشأ المهاجمون الذين يمتلكون وصولاً مسبقاً رابطاً رمزياً في هذا الدليل يشير إلى نظام الملفات الجذري. لأن الرابط الرمزي موجود في نظام ملفات المستخدم وليس نظام ملفات النظام، لم تُزله عمليات التصحيح وتحديثات البرنامج الثابت القياسية. كما فشلت آليات التحقق من سلامة FortiOS في تمييز التعديل، لأن الرابط الرمزي يقع في مساحة تُعتبر عادةً آمنة.

النتيجة: حتى بعد تطبيق المسؤولين لتصحيحات الثغرات الأصلية، ظل الرابط الرمزي في مكانه. يمكن للمهاجمين الوصول إلى عنوان URL العام لملف اللغة واجتياز الرابط الرمزي لقراءة أي ملف على الجهاز، بما في ذلك الإعدادات الحالية مع بيانات اعتماد بنص واضح أو مُشفر، وقواعد بيانات مستخدمي VPN، وبيانات اعتماد LDAP.

هذا ليس نظرياً. أصدر المركز الكندي للأمن السيبراني وCERT الفرنسي وCISA جميعاً تحذيرات تؤكد الاستغلال النشط. في فبراير 2026، وثّق باحثون في ITRES Labs ثغرة CVE-2025-68686، وهي تقنية الشرطة المائلة المزدوجة التي تجاوزت تصحيح Fortinet الأولي للروابط الرمزية، مما وسّع نافذة التهديد.

الثغرات الأساسية

تُمثل الثغرات الثلاث التي مكّنت من الاختراق الأولي بعض أخطر ثغرات FortiOS في السنوات الأخيرة. CVE-2024-21762 هي ثغرة كتابة خارج الحدود في FortiOS SSLVPNd بدرجة CVSS تبلغ 9.8، تسمح لمهاجمين عن بُعد غير مُصادق عليهم بتنفيذ كود تعسفي عبر طلبات HTTP مُعدّة خصيصاً. أضافتها CISA إلى كتالوج الثغرات المُستغلة المعروفة في فبراير 2024. CVE-2023-27997 هي ثغرة تجاوز سعة المخزن المؤقت في مكون SSL-VPN، وCVE-2022-42475 هي ثغرة تجاوز سعة مخزن مؤقت قائمة على الكومة استُغلت بنشاط كثغرة zero-day.

تتوفر تصحيحات لجميع الثغرات الثلاث، لكن آلية الاستمرارية عبر symlink تعني أن التصحيح وحده غير كافٍ. المؤسسات التي صحّحت دون إجراء تحليل ما بعد الاختراق ربما تركت الباب الخلفي في مكانه دون علمها.

استجابة CISA والاستجابة العالمية

أصدرت CISA تحذيراً يحث المؤسسات على اتخاذ إجراءات فورية تتجاوز مجرد التصحيح. تشمل الخطوات الموصى بها الترقية إلى FortiOS إصدارات 7.6.2 أو 7.4.7 أو 7.2.11 أو 7.0.17 أو 6.4.16، التي تُزيل تحديداً ملفات symlink الخبيثة. نصحت CISA أيضاً بإعادة تعيين جميع بيانات الاعتماد المرتبطة بوظيفة SSL-VPN، بما في ذلك حسابات المستخدمين وبيانات اعتماد LDAP والمفاتيح المشتركة مسبقاً.

بالنسبة للمؤسسات غير القادرة على التصحيح فوراً، أوصت CISA بتعطيل وظيفة SSL-VPN بالكامل حتى إتمام الترقية. أكد تحذير Fortinet على ضرورة مراجعة إعدادات الأجهزة بحثاً عن روابط رمزية غير مُصرح بها وإجراء تحليل جنائي على أي جهاز كان مُفعّلاً عليه SSL-VPN خلال فترة الثغرة.

ما يجعل هذا الهجوم مهماً

يُمثل هذا الحادث تحولاً جوهرياً في كيفية تفكير المدافعين في التصحيحات. تعمل إدارة الثغرات التقليدية على افتراض أن تطبيق التصحيح يسد الفجوة الأمنية. يُثبت هجوم symlink على FortiGate أن الخصوم المتطورين يُخططون الآن لعملية نشر التصحيحات، ويُموضعون مسبقاً آليات استمرارية تنجو من عملية المعالجة. هذا يُلزم المؤسسات بتبني نهج أشمل يتعامل مع كل ثغرة مُصححة كمؤشر محتمل لاختراق سابق يتطلب تحقيقاً جنائياً.

الحجم — أكثر من 16,000 جهاز عبر ست قارات — يؤكد أيضاً مدى انتشار أجهزة FortiGate في البنية التحتية الحرجة. كل جهاز مخترق يكشف محتملاً ليس فقط إعدادات جدار الحماية بل أيضاً طوبولوجيا الشبكة بأكملها وبيانات اعتماد VPN والبنية التحتية للمصادقة خلفه.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

ما هي تقنية استمرارية symlink في FortiGate ولماذا هي خطيرة؟

يُنشئ المهاجمون روابط رمزية في دليل ملفات لغة SSL-VPN الخاص بـFortiGate تشير إلى نظام الملفات الجذري للجهاز. لأن ملفات اللغة هذه متاحة علنياً، يمنح الرابط الرمزي المهاجمين وصولاً للقراءة فقط إلى جميع ملفات الجهاز، بما في ذلك الإعدادات وبيانات الاعتماد. تنجو هذه التقنية من التصحيح القياسي لأن الرابط الرمزي موجود في نظام ملفات المستخدم الذي لا تُنظفه تحديثات البرنامج الثابت.

كيف يمكن للمؤسسات اكتشاف ما إذا كانت أجهزة FortiGate لديها قد اختُرقت؟

يجب على المؤسسات الترقية إلى FortiOS 7.6.2 أو 7.4.7 أو 7.2.11 أو 7.0.17 أو 6.4.16، التي تحتوي على فحوصات محددة لإزالة الروابط الرمزية الخبيثة. بعد الترقية، أجروا مراجعة جنائية لإعدادات الأجهزة وتحققوا من وجود ملفات غير مُصرح بها في دليل لغة SSL-VPN. توصي CISA أيضاً بإعادة تعيين جميع بيانات الاعتماد التي قد تكون تعرضت للكشف.

هل يُصلح تصحيح أجهزة FortiGate الباب الخلفي عبر symlink؟

التصحيح القياسي وحده لا يُزيل الرابط الرمزي. فقط إصدارات FortiOS المحددة المذكورة في تحذير المعالجة تحتوي على المنطق لكشف وإزالة الرابط الرمزي الخبيث. المؤسسات التي طبقت تصحيحات سابقة دون الترقية إلى هذه الإصدارات المحددة قد لا يزال الباب الخلفي موجوداً لديها.