التصحيح الذي لم يُغلق الباب
كشفت Fortinet في أبريل 2025 أن جهة تهديد طورت تقنية استغلال لاحق مبتكرة للحفاظ على وصول مستمر إلى أجهزة FortiGate لفترة طويلة بعد تصحيح الثغرات الأصلية. تعود حملات الاختراق الأولية إلى 2023، مستغلة ثلاث ثغرات CVE حرجة: CVE-2022-42475 وCVE-2023-27997 وCVE-2024-21762. ما جعل هذا الهجوم استثنائياً ليس الاختراق الأولي بل ما حدث بعده: أنشأ المهاجمون روابط رمزية داخل دليل ملفات لغة SSL-VPN تشير إلى نظام الملفات الجذري للجهاز. ولأن ملفات اللغة هذه متاحة علنياً على الأجهزة المُفعّل عليها SSL-VPN، منح الرابط الرمزي المهاجمين وصولاً مستمراً للقراءة فقط إلى الملفات الحساسة، بما في ذلك الإعدادات وبيانات الاعتماد والشهادات.
أكدت مؤسسة Shadowserver أن 16,620 جهاز FortiGate مكشوفاً على الإنترنت كانت مخترقة بهذا الباب الخلفي حتى أبريل 2025. يكشف التوزيع الجغرافي عن بصمة عالمية: آسيا في المقدمة بـ7,886 جهازاً متأثراً، تليها أوروبا بـ3,766، وأمريكا الشمالية بـ3,217، وأمريكا الجنوبية بـ1,054، وأفريقيا بـ399، وأوقيانوسيا بـ298.
كيف تعمل آلية الاستمرارية عبر Symlink
تستغل هذه التقنية خاصية تصميمية في FortiOS وليس خللاً برمجياً. تخدم أجهزة FortiGate المُفعّل عليها SSL-VPN ملفات اللغة من دليل متاح للمستخدمين. أنشأ المهاجمون الذين يمتلكون وصولاً مسبقاً رابطاً رمزياً في هذا الدليل يشير إلى نظام الملفات الجذري. لأن الرابط الرمزي موجود في نظام ملفات المستخدم وليس نظام ملفات النظام، لم تُزله عمليات التصحيح وتحديثات البرنامج الثابت القياسية. كما فشلت آليات التحقق من سلامة FortiOS في تمييز التعديل، لأن الرابط الرمزي يقع في مساحة تُعتبر عادةً آمنة.
النتيجة: حتى بعد تطبيق المسؤولين لتصحيحات الثغرات الأصلية، ظل الرابط الرمزي في مكانه. يمكن للمهاجمين الوصول إلى عنوان URL العام لملف اللغة واجتياز الرابط الرمزي لقراءة أي ملف على الجهاز، بما في ذلك الإعدادات الحالية مع بيانات اعتماد بنص واضح أو مُشفر، وقواعد بيانات مستخدمي VPN، وبيانات اعتماد LDAP.
هذا ليس نظرياً. أصدر المركز الكندي للأمن السيبراني وCERT الفرنسي وCISA جميعاً تحذيرات تؤكد الاستغلال النشط. في فبراير 2026، وثّق باحثون في ITRES Labs ثغرة CVE-2025-68686، وهي تقنية الشرطة المائلة المزدوجة التي تجاوزت تصحيح Fortinet الأولي للروابط الرمزية، مما وسّع نافذة التهديد.
إعلان
الثغرات الأساسية
تُمثل الثغرات الثلاث التي مكّنت من الاختراق الأولي بعض أخطر ثغرات FortiOS في السنوات الأخيرة. CVE-2024-21762 هي ثغرة كتابة خارج الحدود في FortiOS SSLVPNd بدرجة CVSS تبلغ 9.8، تسمح لمهاجمين عن بُعد غير مُصادق عليهم بتنفيذ كود تعسفي عبر طلبات HTTP مُعدّة خصيصاً. أضافتها CISA إلى كتالوج الثغرات المُستغلة المعروفة في فبراير 2024. CVE-2023-27997 هي ثغرة تجاوز سعة المخزن المؤقت في مكون SSL-VPN، وCVE-2022-42475 هي ثغرة تجاوز سعة مخزن مؤقت قائمة على الكومة استُغلت بنشاط كثغرة zero-day.
تتوفر تصحيحات لجميع الثغرات الثلاث، لكن آلية الاستمرارية عبر symlink تعني أن التصحيح وحده غير كافٍ. المؤسسات التي صحّحت دون إجراء تحليل ما بعد الاختراق ربما تركت الباب الخلفي في مكانه دون علمها.
استجابة CISA والاستجابة العالمية
أصدرت CISA تحذيراً يحث المؤسسات على اتخاذ إجراءات فورية تتجاوز مجرد التصحيح. تشمل الخطوات الموصى بها الترقية إلى FortiOS إصدارات 7.6.2 أو 7.4.7 أو 7.2.11 أو 7.0.17 أو 6.4.16، التي تُزيل تحديداً ملفات symlink الخبيثة. نصحت CISA أيضاً بإعادة تعيين جميع بيانات الاعتماد المرتبطة بوظيفة SSL-VPN، بما في ذلك حسابات المستخدمين وبيانات اعتماد LDAP والمفاتيح المشتركة مسبقاً.
بالنسبة للمؤسسات غير القادرة على التصحيح فوراً، أوصت CISA بتعطيل وظيفة SSL-VPN بالكامل حتى إتمام الترقية. أكد تحذير Fortinet على ضرورة مراجعة إعدادات الأجهزة بحثاً عن روابط رمزية غير مُصرح بها وإجراء تحليل جنائي على أي جهاز كان مُفعّلاً عليه SSL-VPN خلال فترة الثغرة.
ما يجعل هذا الهجوم مهماً
يُمثل هذا الحادث تحولاً جوهرياً في كيفية تفكير المدافعين في التصحيحات. تعمل إدارة الثغرات التقليدية على افتراض أن تطبيق التصحيح يسد الفجوة الأمنية. يُثبت هجوم symlink على FortiGate أن الخصوم المتطورين يُخططون الآن لعملية نشر التصحيحات، ويُموضعون مسبقاً آليات استمرارية تنجو من عملية المعالجة. هذا يُلزم المؤسسات بتبني نهج أشمل يتعامل مع كل ثغرة مُصححة كمؤشر محتمل لاختراق سابق يتطلب تحقيقاً جنائياً.
الحجم — أكثر من 16,000 جهاز عبر ست قارات — يؤكد أيضاً مدى انتشار أجهزة FortiGate في البنية التحتية الحرجة. كل جهاز مخترق يكشف محتملاً ليس فقط إعدادات جدار الحماية بل أيضاً طوبولوجيا الشبكة بأكملها وبيانات اعتماد VPN والبنية التحتية للمصادقة خلفه.
الأسئلة الشائعة
ما هي تقنية استمرارية symlink في FortiGate ولماذا هي خطيرة؟
يُنشئ المهاجمون روابط رمزية في دليل ملفات لغة SSL-VPN الخاص بـFortiGate تشير إلى نظام الملفات الجذري للجهاز. لأن ملفات اللغة هذه متاحة علنياً، يمنح الرابط الرمزي المهاجمين وصولاً للقراءة فقط إلى جميع ملفات الجهاز، بما في ذلك الإعدادات وبيانات الاعتماد. تنجو هذه التقنية من التصحيح القياسي لأن الرابط الرمزي موجود في نظام ملفات المستخدم الذي لا تُنظفه تحديثات البرنامج الثابت.
كيف يمكن للمؤسسات اكتشاف ما إذا كانت أجهزة FortiGate لديها قد اختُرقت؟
يجب على المؤسسات الترقية إلى FortiOS 7.6.2 أو 7.4.7 أو 7.2.11 أو 7.0.17 أو 6.4.16، التي تحتوي على فحوصات محددة لإزالة الروابط الرمزية الخبيثة. بعد الترقية، أجروا مراجعة جنائية لإعدادات الأجهزة وتحققوا من وجود ملفات غير مُصرح بها في دليل لغة SSL-VPN. توصي CISA أيضاً بإعادة تعيين جميع بيانات الاعتماد التي قد تكون تعرضت للكشف.
هل يُصلح تصحيح أجهزة FortiGate الباب الخلفي عبر symlink؟
التصحيح القياسي وحده لا يُزيل الرابط الرمزي. فقط إصدارات FortiOS المحددة المذكورة في تحذير المعالجة تحتوي على المنطق لكشف وإزالة الرابط الرمزي الخبيث. المؤسسات التي طبقت تصحيحات سابقة دون الترقية إلى هذه الإصدارات المحددة قد لا يزال الباب الخلفي موجوداً لديها.
المصادر والقراءات الإضافية
- Over 16,000 Fortinet Devices Compromised with Symlink Backdoor — BleepingComputer
- Fortinet Releases Advisory on New Post-Exploitation Technique — CISA
- Fortinet Warns Attackers Retain FortiGate Access Post-Patching — The Hacker News
- Over 14K Fortinet Devices Compromised via New Attack Method — Cybersecurity Dive
- Compromise and Persistent Access of Fortinet FortiOS Products — Canadian Centre for Cyber Security
- Hackers Exploit Old FortiGate Vulnerabilities, Use Symlink Trick — Help Net Security
