في عالم الأمن السيبراني المتغير باستمرار، يبرز تهديد جديد يتطلب انتباهنا العاجل. تتزايد حدة الهجمات السيبرانية الموجهة نحو استغلال ثغرات الأمان في البرمجيات، مما يعرض القطاعات الحيوية مثل التصنيع والتوزيع للخطر. في هذا السياق، سنستعرض تفاصيل استغلال الثغرات الأمنية في بعض البرمجيات الشهيرة مثل (Progress Telerik UI for ASP.NET AJAX) و(Advantive VeraCore)، وتأثير ذلك على أمن الأنظمة التقنية.
تحليل وتفصيل التهديدات
لاحظ الباحثون مؤخرًا استغلالًا للثغرات الأمنية في منتجات البرمجيات، بما في ذلك (Progress Telerik UI for ASP.NET AJAX) و(Advantive VeraCore)، لزرع أدوات وصول عن بعد مثل Reverse Shells وWeb Shells. ويعد هذا الاستغلال جزءًا من حملة متطورة يقودها مجموعة من الفاعلين السيبرانيين المعروفين باسم (XE Group)، والتي يُعتقد أنها نشأت في فيتنام ونشطت منذ عام 2010.
تحول (XE Group) من عمليات سرقة بطاقات الائتمان إلى سرقة المعلومات المستهدفة، مما يشير إلى تغيير جذري في أولوياتهم العملياتية. ووفقًا لتقرير صادر عن شركة (Intezer) بالتعاون مع (Solis Security)، فإن الهجمات الآن تستهدف سلاسل التوريد في قطاعي التصنيع والتوزيع، مستغلة ثغرات جديدة وتكتيكات متقدمة.
الثغرات المستهدفة وتأثيرها
- CVE-2024-57968 (درجة (CVSS): 9.9): ثغرة تسمح برفع ملفات خطيرة بواسطة مستخدمين مصادق عليهم عن بعد.
- CVE-2025-25181 (درجة (CVSS): 5.8): ثغرة حقن SQL تتيح للمهاجمين تنفيذ أوامر SQL عشوائية.
تشير الأبحاث الحديثة إلى أن هذه الثغرات تُستخدم لنشر Web Shells من نوع ASPXSpy للوصول غير المصرح به إلى الأنظمة. تُظهر تحليلات التقارير أن هذه الأنشطة بدأت منذ أوائل عام 2020، مما يبرز قدرة الفاعلين على الحفاظ على الوصول على المدى الطويل إلى الأنظمة المخترقة.
مقارنة مع الهجمات السابقة
بينما اعتمدت الهجمات السابقة من (XE Group) على استغلال الثغرات المعروفة مثل تلك الموجودة في (Telerik UI for ASP.NET)، فإن هذا التطور يمثل أول مرة يتم فيها نسب استغلال ثغرات يوم الصفر لهذه المجموعة، مما يدل على زيادة في مستوى التطور لديهم.
لقد أثارت الثغرات القديمة مثل CVE-2019-18935 اهتمامًا مستمرًا من قبل الفاعلين السيبرانيين، حيث تم استخدامها مؤخرًا في تنفيذ أوامر استكشاف إضافية عبر cmd.exe. هذا يوضح أهمية تحديث الأنظمة بشكل دوري، خاصة إذا كانت معرضة للإنترنت.
إضافات إلى كتالوج الثغرات المستغلة المعروف (KEV)
أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) خمس ثغرات جديدة إلى كتالوج الثغرات المستغلة المعروف، بناءً على أدلة على الاستغلال النشط. تشمل هذه الثغرات:
- CVE-2025-0411: ثغرة تجاوز أمن 7-Zip.
- CVE-2022-23748: ثغرة تحكم في عملية اكتشاف Dante.
- CVE-2024-21413: ثغرة في التحقق من المدخلات في Microsoft Outlook.
- CVE-2020-29574: ثغرة حقن SQL في CyberoamOS.
- CVE-2020-15069: ثغرة تجاوز المخزن المؤقت في Sophos XG Firewall.
وفقًا لمتطلبات الأمر التوجيهي التشغيلي الملزم (BOD 22-01)، يجب على الوكالات الفيدرالية تنفيذ التحديثات الضرورية بحلول 27 فبراير 2025 لحماية الأنظمة من التهديدات النشطة.
خاتمة وتساؤلات للمناقشة
في ضوء هذه التطورات، كيف يمكن للمنظمات تعزيز دفاعاتها السيبرانية ضد هذه التهديدات المتطورة؟ وهل نحن بحاجة إلى إعادة تقييم أولوياتنا في مجال الأمن السيبراني للتعامل مع هذه التهديدات المستجدة؟
شاركنا رأيك بتعليق