تحليل مقارن: ثغرات أمنية حرجة في Fortinet FortiSIEM و FortiFone في عام 2025

التكنولوجيا اليومية

التكنولوجيا اليومية

·

15/01/2026

button icon
ADVERTISEMENT

نظرة عامة على الثغرات الأخيرة

أصلحت Fortinet ثغرتين خطيرتين في حلولها FortiSIEM وFortiFone. تبلغ درجة الخطورة لكل من CVE-2025-64155 وCVE-2025-47855 أكثر من 9.0 على مقياس CVSS، ما يعني خطراً مباشراً على أي مؤسسة تستخدم النظامين. يوضح الجدول التالي الفروقات التقنية بين الثغرتين، أثرهما على الأداء، ومدى فعالية الترقيعات التي أصدرتها Fortinet.

التفاصيل التقنية وكيفية الاستغلال

تكمن CVE-2025-64155 في FortiSIEM. تتيح حقن أوامر نظام التشغيل بتقييم CVSS 9.4. يستطيع مهاجم غير موثوق به إرسال حزم TCP خاصة إلى خدمة phMonitor المنصتة على المنفذ 7900. بمجرد نجاح الحقن يكتب المهاجم أي ملف يريده بصلاحيات المدير، ثم يرفع امتيازه إلى الجذر ويسيطر على الجهاز بالكامل. يحدث ذلك لأن phMonitor لا تنقي مدخلات أوامر نظام التشغيل عند معالجة سجلات Elasticsearch.

ADVERTISEMENT

تظهر CVE-2025-47855 في FortiFone. ثغرة بتقييم CVSS 9.3 تفتح باب الوصول إلى ملفات التكوين عن طريق طلبات HTTP(S) خاصة تستهدف صفحة الإدارة. لا تتيح تنفيذ أوامر فورياً لكنها تكشف إعدادات الجهاز الحساسة، ما يمهد لخطوات اختراق لاحقة.

أثر الثغرتين على الأمان والأداء

تسبب ثغرة FortiSIEM ضرراً أكبر لأنها تتيح التنفيذ عن بُعد والسيطرة الكاملة. الخدمة تستمع على المنفذ 7900 دون طلب اسم مستخدم أو كلمة مرور، لذا يكفي وصول المهاجم إلى الشبكة ليستولي على النظام. يتوقف بذلك مراقب الصحة والاتصالات الداخلية، وتتعطل مراقبة الأمان على مستوى المؤسسة.

ADVERTISEMENT

تؤثر ثغرة FortiFone على السرية فقط. لا تمنح تنفيذ أوامر أو رفع امتيازات مباشرة، لكنها تسلّم المهاجم ملفات التكوين التي قد يستخدمها لاحقاً لتجاوز حدود الشبكة إذا لم تُسدّ.

الترقيع والإرشادات الأمنية

أصدرت Fortinet تصحيحاً لكل منتج. على مسؤولي FortiSIEM ترقية النسخة إلى 7.1.9 على الأقل. الإصدارات 7.5 والإصدارات السحابية غير معنية. يُستحسن حجب المنفذ 7909 مؤقتاً إلى حين إتمام الترقية. أما أصحاب FortiFone فينبغي عليهم الترقية إلى 3.0.24 أو أحدث. التصحيح مخصص لكل إصدار، لذا يبقى تحديث البيئات أولوية.

خلاصة المقارنة

تُشكّل CVE-2025-64155 تهديداً أوسع لأنها تؤدي إلى السيطرة الكاملة على النظام، بينما تقتصر CVE-2025-47855 على كشف البيانات. الترقية فور صدور التصحيح والالتزام بتعليمات Fortinet يقللان المخاطر التشغيلية والأمنية بفعالية.

قراءة مقترحة

12-06-2025
فيلم 'ديب كوفر' من برايم فيديو يقلب سيناريو الدراما الجريمة البريطانية بطريقة مضحكة
اكتشف 'Deep Cover'، الكوميديا ​​الحركية الجديدة من Prime Video التي تقلب السيناريو بشكل مضحك في دراما الجريمة البريطانية، بطولة برايس دالاس هوارد، أورلاندو بلوم، ونيك محمد.
ADVERTISEMENT
04-06-2025
صراع هوليوود على قوة الذكاء الاصطناعي: إلى أين تتجه الإبداعات البشرية من هنا؟
استكشف صراع القوى المعقد داخل هوليوود بينما يعيد الذكاء الاصطناقة تشكيل صناعة الأفلام، مما يؤثر على الإبداع والوظائف والملكية الفكرية. اكتشف المعارك القانونية، المعضلات الأخلاقية، والدور الحاسم للنقابات في التعامل مع هذا التحول التكنولوجي.
23-05-2025
إعادة جدولة مغادرة كبسولة دراجون من محطة الفضاء الدولية إلى 23 مايو
أعلنت ناسا وسبايس إكس عن إعادة جدولة مغادرة كبسولة دراجون من محطة الفضاء الدولية إلى 23 مايو بسبب سوء الأحوال الجوية.
31-12-2025
متجر Unitree للروبوتات في بكين: تحليل مقارن للابتكارات الروبوتية في تجارة التجزئة الاستهلاكية
قارن بين كلاب الروبوت GO2 من Unitree والروبوتات الشبيهة بالبشر G1 في متجر بكين الجديد للبيع بالتجزئة، مع تسليط الضوء على الأداء الفني والأسعار وتفاعل المستخدم.
ADVERTISEMENT
27-08-2025
ستارشيب تحلق: سبيس إكس تحقق نجاحًا كبيرًا في رحلتها التجريبية العاشرة
كانت رحلة ستارلاينر العاشرة لـ سبيس إكس ناجحة بشكل كبير، حيث حققت إنجازات رئيسية بما في ذلك نشر الحمولة وهبوطًا متحكمًا فيه، مما أعاد الشركة إلى مسارها الصحيح.
14-08-2025
الثلاثاء الخاص بتصحيحات مايكروسوفت لشهر أغسطس: إصلاح ثغرة كيربيروس ليوم الصفر و110 ثغرات أخرى
يعالج الثلاثاء الأمني لشهر أغسطس 2025 من مايكروسوفت 111 ثغرة أمنية، بما في ذلك ثغرة حرجة من نوع "يوم الصفر" في Kerberos (CVE-2025-53779) وثغرات أخرى عالية الخطورة في Azure و GDI+ ورسومات Windows.
28-10-2025
تغير توازن نصفي الكرة الأرضية: نصف الكرة الشمالي يمتص المزيد من ضوء الشمس
تكشف أبحاث جديدة أن نصف الكرة الشمالي للأرض يمتص ضوء شمس أكثر من نصف الكرة الجنوبي، مما يكسر تناظرًا طويل الأمد وقد يؤثر على المناخ المستقبلي.
ADVERTISEMENT
19-08-2025
يكتسب كلود للذكاء الاصطناعي القدرة على إنهاء المحادثات الضارة
أصبح لدى نموذج كلود للذكاء الاصطناعي من أنثروبيك الآن القدرة على إنهاء المحادثات التي تعتبر ضارة أو مسيئة، مما يمثل مرحلة جديدة في سلامة الذكاء الاصطناعي و"رفاهية النموذج".
21-05-2025
مستقبل الوكلاء الذكيين: كيف تعيد جوجل تشكيل الذكاء الاصطناعي من خلال جيميني ومشروع مارينر
اكتشف كيف تعيد جوجل تشكيل مستقبل الذكاء الاصطناعي من خلال جيميني ومشروع مارينر، مع التركيز على وضع الوكيل والتطبيقات العملية.
14-01-2026
تصبح أتمتة Google Home أذكى مع مشغلات وإجراءات جديدة
يقدم تطبيق Google Home ميزات أتمتة قوية جديدة مع مشغلات وإجراءات موسعة، مما يسمح بروتينات منزل ذكي أكثر تعقيدًا وشخصية.
ADVERTISEMENT