أطلق باحثون في مجال الأمن السيبراني تحذيرًا بشأن ثغرة حرجة في أجهزة Zyxel CPE Series، حيث يتم حاليًا استغلالها بشكل نشط في الهجمات. وفقًا للباحث Glenn Thorpe من GreyNoise، فإن المهاجمين يمكنهم استغلال هذه الثغرة لتنفيذ أوامر عشوائية على الأجهزة المتأثرة، مما قد يؤدي إلى اختراق كامل للنظام، وسرقة البيانات، أو التسلل إلى الشبكات.

تفاصيل الثغرة وأصلها

الثغرة المعروفة بـ CVE-2024-40891 هي ثغرة حرجة في حقن الأوامر ولم يتم الكشف عنها علنياً أو إصلاحها حتى الآن. تم الإبلاغ عن وجود هذه الثغرة لأول مرة بواسطة VulnCheck في يوليو 2024. تُظهر الإحصائيات التي جمعتها شركة تهديدات الاستخبارات أن محاولات الهجوم بدأت من عشرات عناوين الـ IP، ومعظمها موجودة في تايوان. ووفقًا لـ Censys، هناك أكثر من 1,500 جهاز معرض للخطر على الإنترنت.

تشابه الثغرات والتوصيات الأمنية

أضافت GreyNoise أن الثغرة CVE-2024-40891 تشبه إلى حد كبير الثغرة CVE-2024-40890، مع الفرق الرئيسي بأن الأولى تعتمد على Telnet بينما الثانية تعتمد على HTTP. كلا الثغرتين تسمحان للمهاجمين غير المصرح لهم بتنفيذ أوامر عشوائية باستخدام حسابات الخدمة.

أوصت الجهات المختصة بتصفية حركة المرور للطلبات غير العادية الخاصة بـ واجهات إدارة Zyxel CPE، وتقييد الوصول إلى الواجهات الإدارية لعناوين الـ IP الموثوقة فقط.

سياق أمني أوسع

يتزامن هذا التطور مع تقرير من Arctic Wolf الذي رصد حملة بدأت في 22 يناير 2025، استخدمت برنامج SimpleHelp للتحكم عن بعد كنقطة وصول أولية. لم يُعرف بعد ما إذا كانت هذه الهجمات مرتبطة باستغلال الثغرات الأمنية المعلنة حديثاً في المنتج (CVE-2024-57726، CVE-2024-57727، وCVE-2024-57728)، والتي يمكن أن تسمح للمهاجمين بترقية الامتيازات إلى المستخدمين الإداريين وتحميل ملفات عشوائية.

ينصح بشدة بتحديث نسخ SimpleHelp إلى الإصدارات الثابتة المتاحة لتأمينها ضد التهديدات المحتملة.

ختاماً

ما هي التدابير الأمنية التي تعتقد أنها الأكثر فعالية لحماية الأجهزة من مثل هذه الثغرات؟ شاركنا رأيك عبر فيسبوك وإكس.