ملخص تهديدات الأمن السيبراني18-10-2025

يوم حافل بثغرات حرجة واستغلالات فعلية طالت بنى تحتية شبكية وأنظمة أعمال، إلى جانب حملات تصيد وبرمجيات خبيثة استهدفت المستخدمين والمطورين. فيما يلي أبرز التهديدات المصنفة حسب النوع، مع خطوات عاجلة للحد من المخاطر.

الثغرات والتحديثات الأمنية

  • Cisco IOS/IOS XE (SNMP): ثغرة CVE-2025-20352 تُمكن من تنفيذ أوامر عن بُعد بعد الحصول على بيانات اعتماد SNMP وزرع rootkit خفي يبقى نشطاً بعد إعادة التشغيل ويخفي السجلات. استُخدمت حزم SNMP عبر UDP 161 واستُهدفت طرازات مثل 9400 و9300 و3750G، مع أساليب مثل ARP spoofing.
  • هواتف Cisco (SIP): ثغرتا CVE-2025-20350 (تعطيل خدمة) وCVE-2025-20351 (XSS) عند تفعيل Web Access على Desk Phone 9800 وIP Phone 7800/8800 وVideo Phone 8875. لا حلول مؤقتة سوى التحديث أو تعطيل Web Access.
  • WatchGuard Firebox (VPN): ثغرة حرجة CVE-2025-9242 بتجاوز سعة الذاكرة أثناء مصادقة IKEv2 تسمح بتنفيذ أوامر بصلاحيات root عبر حزم موجهة إلى UDP 500، وتؤثر على إصدارات Fireware OS عدة. توفرت تحديثات عاجلة.
  • ConnectWise Automate: ثغرات عالية الخطورة (CVE-2025-11492، CVE-2025-11493) تسمح بحقن تحديثات خبيثة عبر قنوات غير مشفرة في النُسخ المحلية. إصدار 2025.9 يفرض HTTPS وTLS 1.2 ويغلق نافذة الاستغلال.
  • Moxa (صناعي): ثغرات متعددة قبل الإصدار v3.21 في طرازات EDF-G1002-BP وEDR-8010 وEDR-G9010 وNAT-102 وNAT-108 وOnCell G4302-LTE4 وTN-4900 قد تؤدي لرفع الصلاحيات وكشف بيانات. المؤشرات: CVE-2025-6892، CVE-2025-6893، CVE-2025-6894، CVE-2025-6949، CVE-2025-6950.
  • Squid: ثغرة انتهاك للسرية على جميع إصدارات 7.x قبل 7.2. المؤشر: CVE-2025-62168.
  • MongoDB Connector for BI (ويندوز): ثغرة تصعيد صلاحيات تؤثر على الإصدارات قبل 2.14.25. المؤشر: CVE-2025-11535.
  • أنوية لينكس وتوزيعات: تحديثات أمنية لمعالجة ثغرات عديدة على Ubuntu (18.04 ESM، 20.04 ESM، 22.04 LTS، 24.04 LTS، 25.04) وعلى Debian LTS bullseye (قبل 5.10.244-1 و6.1.153-1~deb11u1) وعلى Red Hat Enterprise Linux وCodeReady Linux Builder، وتشمل مخاطر تسريب بيانات، DoS، ورفع الصلاحيات.
  • IBM: ثغرات في منتجات مثل Cloud Pak for Security وQRadar وSterling Connect:Direct Web Services وWebSphere eXtreme Scale قد تؤدي لتنفيذ عن بُعد وDoS وتسريب/تعديل بيانات.
  • SAP: تحذير حول ثغرة يوم الصفر في أنظمة SAP ERP وCRM يبرز ضرورة المراقبة المستمرة وإدارة الإعدادات.

فدية وابتزاز

  • Clop وOracle E-Business Suite: استغلال ثغرة يوم الصفر CVE-2025-61882 لاختراق مؤسسات منها Envoy Air وجامعات، وتسريب بيانات تجارية وبدء ابتزاز. Envoy Air أشارت إلى عدم تأثر بيانات العملاء الحساسة.
  • اتجاهات الفدية: نشاط بارز لمجموعات Akira وQilin خلال يوليو وأغسطس 2025 وظهور 37 مجموعة جديدة في النصف الأول من 2025. غياب MFA وتحديثات أجهزة الشبكة (مثل أجهزة Cisco) سهّل الاستغلال، ومعظم الهجمات بدأت من أجهزة مكشوفة على الإنترنت.
  • ShinyHunters: استهداف شركات أزياء فاخرة عبر اختراق Salesforce ومفاوضات ابتزاز مستمرة، مع جدل حول هوية القائد بعد اعتقال مشتبه به.

تسريبات واختراقات بيانات

  • F5: اختراق طال منصات هندسية وسرقة شيفرة BIG-IP وثغرات غير معلنة وتفاصيل إعدادات عملاء، ما يثير مخاوف سلسلة التوريد. صدرت توجيهات لتحديث الأجهزة أو فصل الأنظمة المنتهية ودعمها، مع رصد مئات آلاف الأجهزة غير المحدثة.
  • Prosper: اختراق كشف بيانات شخصية ومالية واسعة النطاق، شملت أسماء وأرقام ضمان اجتماعي وعناوين وتواريخ ميلاد وهويات حكومية ودخل وحالة ائتمانية وعناوين IP وتفاصيل متصفح، مع تأكيد تسريب 17.6 مليون عنوان بريد إلكتروني.
  • استهداف شخصيات عامة: اختراق بريد جون بولتون ونشر تهديدات بتسريب مواد حساسة.

التصيد والهندسة الاجتماعية

  • دعم فني مزيف باسم مايكروسوفت: حملة بريد احتيالي تقود إلى CAPTCHA مزيف وشاشة متجمدة وأرقام دعم مزيفة لانتزاع بيانات الدخول أو تثبيت برامج تحكم عن بُعد. المؤشرات: alphadogprinting[.]com, amormc[.]com, 107[.]180[.]26[.]155, 184[.]168[.]97[.]153, toruftuiov[.]com, highbourg[.]my[.]id, 104[.]21.32.1, 104[.]21.112.1, 18[.]160.41.101.
  • Clickbait خادع: عناوين مثيرة وروابط خبيثة على الشبكات الاجتماعية والبريد تستهدف سرقة بيانات الدخول والمعلومات المالية.
  • استغلال Zendesk: إنشاء تذاكر دعم من دون تحقق لإغراق المستخدمين برسائل مسيئة تبدو من شركات معروفة؛ الرد يذهب لبريد الشركات، ما يضر السمعة. التفعيل المسبق للتحقق من المُرسل ضروري.
  • تفكيك شبكات SIM-Box: عمليات أوروبية أوقفت بنية احتيال واسعة (اعتقالات، آلاف الشرائح، ملايين الحسابات الوهمية). المؤشرات: gogetsms.com، apisim.com.

برمجيات خبيثة وبنية C2 وسلسلة التوريد

  • AdaptixC2 عبر npm: حزمة مزيفة باسم https-proxy-utils تنفذ وكيل تحكم عن بُعد على ويندوز/لينكس/ماك. المؤشرات: https-proxy-utils، DFBC0606E16A89D980C9B674385B448E، B8E27A88730B124868C1390F3BC42709، cloudcenter[.]top/sys/update.
  • PowerShell من تيك توك: فيديوهات تروّج لتفعيل برمجيات مجاناً تدفع لتنفيذ أوامر تُثبّت AuroStealer وتُشغّل مراحل إضافية في الذاكرة. المؤشرات: slmgr.win/photoshop, file-epq.pages.dev/updater.exe, 6D897B5661AA438A96AC8695C54B7C4F3A1FBF1B628C8D2011E50864860C6B23, 58b11b4dc81d0b005b7d5ecae0fb6ddb3c31ad0e7a9abf9a7638169c51356fd8, db57e4a73d3cb90b53a0b1401cb47c41c1d6704a26983248897edcc13a367011.
  • مثبتات Teams مزيفة: إلغاء 200 شهادة استُخدمت لتوقيع MSTeamsSetup.exe مزور ينشر برمجية Oyster ويقود إلى Rhysida. المؤشرات: teams-download[.]buzz، teams-install[.]run، teams-download[.]top.
  • حملات كورية شمالية: استهداف باحثي عمل ببرمجيات BeaverTail وOtterCookie وتقنيات EtherHiding للتحكم والتحديث عبر البلوكشين، مع أدوات مثل JadeSnow وInvisibleFerret لسرقة كلمات المرور ولقطات الشاشة وضغطات المفاتيح.
  • هجمات سبام SEO على المواقع: حقن روابط مخفية عبر ثغرات أو كلمات مرور ضعيفة أو إضافات غير محدثة، ما يضر السمعة ويُعرّض للحظر من محركات البحث.

توصيات

  • تحديث عاجل: أجهزة F5، برامج Cisco (IOS/IOS XE وهواتف SIP)، Fireware OS على WatchGuard، ConnectWise Automate إلى 2025.9، أجهزة Moxa إلى v3.21، Squid 7.2، MongoDB Connector ≥ 2.14.25، أنظمة Ubuntu/Debian/Red Hat، ومنتجات IBM، وأنظمة Oracle E-Business Suite المتأثرة بـ CVE-2025-61882.
  • تقليل السطح المكشوف: قصر SNMP على الشبكات الداخلية وتعطيل كشفه للإنترنت، تقييد الوصول إلى UDP 161 وUDP 500، وتعطيل Web Access على هواتف Cisco إن تعذّر التحديث.
  • ضوابط الهوية: تفعيل MFA المقاوم للتصيد، خاصة على VPN والبريد والخدمات الحرجة.
  • رصد واحتواء: البحث عن المؤشرات الواردة، مراجعة سجلات Oracle EBS وF5، وتمكين حلول EDR ومراقبة الشبكة.
  • صلابة سلسلة التوريد: تنزيل البرمجيات من القنوات الرسمية فقط، تدقيق حِزم npm، وعدم استخدام مثبتات Teams من مواقع غير رسمية.
  • توعية المستخدمين: التحذير من رسائل الدعم المزيف وفيديوهات تدعو لأوامر PowerShell، وضبط Zendesk لفرض التحقق من المُرسل قبل إنشاء التذاكر.
  • حماية المواقع: تحديث الأنظمة والإضافات، كلمات مرور قوية مع 2FA، فحص المحتوى لاكتشاف الروابط المخفية وتفعيل WAF.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون