Home تقنية CVE-2026-25089: تمت إضافة أمر FortiSandbox غير المصادق عليه إلى CISA KEV |...

CVE-2026-25089: تمت إضافة أمر FortiSandbox غير المصادق عليه إلى CISA KEV | itg-ar.com

1
0
CVE-2026-25089: تمت إضافة أمر FortiSandbox غير المصادق عليه إلى CISA KEV
| itg-ar.com

CVE-2026-25089: تمت إضافة أمر FortiSandbox غير المصادق عليه إلى CISA KEV

16 يوليو 2026CVSS 9.8 · حاسم · تم استغلاله بشكل نشط لمدة 5 دقائق للقراءة يحتوي Fortinet FortiSandbox على ثغرة أمنية غير مصادق عليها في حقن أوامر نظام التشغيل في واجهة الويب الخاصة به. يعين سجل CNA الخاص بـ Fortinet CVSS 9.8، بينما يسرد تقرير PSIRT الاستشاري 9.1؛ لم تصدر NVD نتيجة مستقلة. تم إبطال مفعول محاولات الاستغلال المبلغ عنها في منتصف يونيو، وأضافت CISA CVE-2026-25089 إلى KEV في 16 يوليو مع موعد نهائي في 19 يوليو لأنظمة FCEB المعمول بها. هذه هي ثغرة FortiSandbox الثالثة التي يتم استغلالها في الواقع خلال شهرين. الثغرة الأمنية CVE-2026-25089 (CWE-78: تحييد غير مناسب للعناصر الخاصة المستخدمة في أمر نظام التشغيل) هي عبارة عن حقن أوامر نظام التشغيل في واجهة مستخدم الويب الخاصة بـ FortiSandbox. تم الإبلاغ عن أن الخلل يؤثر على ميزة “بدء VNC” – يمكن للمهاجم إدخال أحرف تعريفية للصدفة عبر حمولات JSON في طلبات HTTP إلى نقطة النهاية هذه. ليست هناك حاجة إلى مصادقة، ولا حاجة إلى تفاعل المستخدم، وتعقيد الهجوم منخفض. CVSS: 9.8 بالغ الأهمية (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) — سجل Fortinet CNA؛ قوائم Fortinet PSIRT الاستشارية 9.1؛ لم تنشر NVD تقييمًا مستقلاً لـ CWE: CWE-78 (نظام التشغيل Command حقن) المتأثر: FortiSandbox 4.2.x (جميع الإصدارات)، 4.4.0–4.4.8، 5.0.0–5.0.5؛ فورتيساندبوكس كلاود 5.0.4-5.0.5؛ FortiSandbox PaaS 5.0.4–5.0.5الثابت: FortiSandbox 4.4.9+، 5.0.6+؛ السحابة/PaaS 5.0.6+؛ يسرد سجل CNA 4.2 على أنها متأثرة ولكن استشارات Fortinet لا توفر علاجًا لـ 4.2 – اتصل بـ Fortinet للحصول على إرشادات الترحيل مستكشف: تم تأكيد الاستغلال النشط منذ منتصف يونيو 2026 – تم إدراج CISA KEV في 16 يوليو 2026 · الموعد النهائي BOD 26-04 19 يوليو 2026 (وكالات FCEB) الاستشارة: Fortinet PSIRT FG-IR-26-141 نشاط استغلال FortiSandbox ذو الصلة CVE-2026-25089 هي ثغرة FortiSandbox الثالثة التي تم استغلالها في البرية في عام 2026. تم تصحيح عيبين مرتبطين في أبريل وشهدا استغلالًا نشطًا بحلول منتصف يونيو: • CVE-2026-39808 — حقن أوامر نظام التشغيل (CNA CVSS 9.8؛ PSIRT 9.1)، RCE غير مصادق عليه. تمت ملاحظة الاستغلال في 12 يونيو بواسطة KEVIntel. • CVE-2026-39813 — اجتياز المسار مما يؤدي إلى تجاوز المصادقة (CNA CVSS 9.8؛ PSIRT 9.1). تم ملاحظة الاستغلال في 15 يونيو من قبل شركة Defused. اكتشفت شركة استخبارات التهديدات Defused محاولات استغلال ضد جميع برامج مكافحة التطرف العنيف الثلاثة في مصائد مخترقي الشبكات. يعد FortiSandbox هدفًا عالي القيمة نظرًا لأن منتجات Fortinet المتكاملة – FortiGate، وFortiMail، وFortiWeb، وFortiProxy – تستهلك أحكام التهديد الخاصة بها لفرض قرارات الحظر وتحفيز الاستجابات التلقائية. نظرًا لأن هذه المنتجات تعتمد على نتائج FortiSandbox، يجب على المستجيبين مراجعة مسارات العمل المتصلة بحثًا عن أحكام أو توقيعات أو تغييرات غير متوقعة في التكوين. يتم عادةً نشر أجهزة سير عمل التحقيق FortiSandbox على شبكات داخلية خلف جدران الحماية، ولكن غالبًا ما يمكن الوصول إلى واجهة إدارة الويب الخاصة بها من شبكات VLAN الخاصة بالإدارة أو، في بعض عمليات النشر، من الإنترنت. تحديد الحالات المكشوفة هو الخطوة الأولى. فحص المنافذ: ابحث عن أجهزة FortiSandbox يستخدم FortiSandbox منافذ قياسية لواجهة مستخدم الويب والخدمات الخاصة به. واجهة ويب الإدارة – حيث توجد CVE-2026-25089 – هي الهدف الأساسي: • 443 – واجهة مستخدم ويب HTTPS (واجهة الإدارة – حيث توجد الثغرة الأمنية) 80 – واجهة مستخدم ويب HTTP (إذا لم يتم فرض إعادة توجيه HTTPS) 22 – إدارة SSH 514 – OFTP (عمليات إرسال الملف/عنوان URL/حركة المرور من منتجات Fortinet الأخرى)2. رؤوس HTTP: تحديد واجهات FortiSandbox تُرجع أجهزة FortiSandbox استجابات HTTP يمكن تحديدها على واجهة الإدارة الخاصة بها: عنوان HTML يحتوي على FortiSandbox • رؤوس HTTP تشير إلى Fortinet أو FortiSandbox • صفحة تسجيل الدخول مع علامة Fortinet التجارية واسم منتج FortiSandbox • قد يحدد رأس الخادم خادم الويب Fortinet3. فحص TLS: فحص الشهادات، اسحب شهادة TLS على المنفذ 443. ابحث عن: • الموضوع CN أو SAN الذي يحتوي على FortiSandbox أو fortisandbox • الشهادات الافتراضية الموقعة ذاتيًا من Fortinet (شائعة في عمليات النشر الأولية) • مرجع حقل المؤسسة Fortinet4. DNS: اكتشف FortiSandbox InfrastructureQuery DNS لأنماط تسمية FortiSandbox الشائعة: sandbox.*, fortisandbox.*, fsb.*, fsa.*. غالبًا ما يتم منح أجهزة FortiSandbox أسماء مضيفة وصفية في DNS.5 الداخلي. البحث عن CVE: تتبع جميع الثغرات الأمنية الثلاثة ابحث عن CVE-2026-25089 وCVE-2026-39808 وCVE-2026-39813. يستهدف الثلاثة جميعهم FortiSandbox وقد تم استغلالهم في البرية. التحقق من قابلية التطبيق لجميع الثلاثة. يعالج FortiSandbox 4.4.9+ جميع نقاط الضعف الثلاثة في الفرع 4.4؛ 5.0.6+ يعالج نقاط الضعف المطبقة على 5.0. لا يؤثر CVE-2026-39808 على الإصدار 5.0. ملاحظة: بصمات الأصابع المذكورة أعلاه هي استدلالات – فهي تحدد مثيلات FortiSandbox المحتملة ولكنها لا تؤكد مستوى التصحيح. لا يعرض FortiSandbox إصدار البرنامج الثابت الخاص به في رؤوس HTTP. للتحقق من الإصدار المثبت، قم بتسجيل الدخول إلى واجهة مستخدم الإدارة وتحقق من النظام > Dashboard.Cross-Reference with External DataSHODAN: ابحث عن http.title:”FortiSandbox” أو ssl:”FortiSandbox” للعثور على المثيلات المعرضة للإنترنتCVE LOOKUP: Track CVE-2026-25089 وCVE-2026-39808 وCVE-2026-39813 للاستغلال الإفصاحات CISA KEV: CVE-2026-25089 تم إدراجها في 16 يوليو 2026 – الموعد النهائي BOD 26-04 19 يوليو 2026 (وكالات FCEB) FORTINET: FG-IR-26-141 تصحيح التصحيح على الفور. قم بترقية FortiSandbox إلى الإصدار 4.4.9+ أو 5.0.6+. يجب ترقية عمليات نشر السحابة وPaaS إلى الإصدار 5.0.6+. يسرد سجل CNA 4.2 على أنها متأثرة ولكن استشارات Fortinet لا توفر علاج 4.2 – اتصل بـ Fortinet للحصول على إرشادات الترحيل المدعومة أو التخفيف. إذا لم يكن التصحيح ممكنًا على الفور، فاعزل واجهة الإدارة عن الشبكات غير الموثوق بها وقم بتقييد الوصول إلى المضيفين الإداريين المعينين. قم بتصحيح الأخطاء الشائعة ذات الصلة أيضًا. تم تصحيح CVE-2026-39808 وCVE-2026-39813 في أبريل 2026 ولكن قد يظلا موجودين على الأنظمة التي لم تتلق تحديثات أبريل. تأكد من أن FortiSandbox الخاص بك مصحح ضد جميع نقاط الضعف الثلاثة التي تم استغلالها بشكل نشط. قم بتقييد الوصول إلى واجهة الإدارة. يجب ألا تكون واجهة مستخدم الويب (المنفذ 443) مواجهة للإنترنت أبدًا. قم بتقييده على شبكات VLAN المخصصة للإدارة أو الانتقال إلى المضيفين باستخدام MFA. وهذا يحد من سطح الهجوم لجميع عمليات CVEs الثلاثة. قم بتدقيق عمليات تكامل منتج Fortinet. يوفر FortiSandbox أحكام تهديد لـ FortiGate وFortiMail وFortiWeb وFortiProxy. من المحتمل أن يؤثر وضع الحماية المخترق على دقة الحكم النهائي. قم بمراجعة سجلات التكامل بحثًا عن تغييرات غير متوقعة في الحكم أو تعديلات التكوين. قم بإجراء البحث عن التنازلات. لم تنشر Fortinet شهادات IOC تم التحقق من صحتها لهذه الثغرة الأمنية. كإرشادات عامة للصيد: قم بمراجعة سجلات الوصول إلى واجهة مستخدم الويب للطلبات غير العادية إلى نقاط النهاية ذات الصلة بـ VNC، أو ابحث عن الاتصالات الصادرة غير المتوقعة، أو حسابات المستخدمين الجديدة، أو تكوينات النظام المعدلة. راقب نشاط المتابعة. يقوم FortiSandbox بمعالجة عينات البرامج الضارة ولديه حق الوصول إلى الملفات المرسلة عبر الشبكة. من المحتمل أن يكون أحد الأجهزة المخترقة قد كشف عن نماذج البيانات أو هيكل الشبكة أو بيانات اعتماد التكامل لمنتجات Fortinet الأخرى. كل أداة مستخدمة في هذا التحقيق – فحص المنافذ، وفحص TLS، ورؤوس HTTP، وDNS، والبحث عن CVE – تعمل من هاتفك في RECON. احصل عليه من App Store. تابع @hellorecon للحصول على تحقيقات جديدة في مجال مكافحة التطرف العنيف. المصادر


تم النشر: 2026-07-16 23:07:00

مصدر: hellorecon.com