ملخص تهديدات الأمن السيبراني12-11-2025

يوم شهد موجة تحديثات عاجلة وثغرات مُستغَلّة إلى جانب حملات تصيّد وفدية وتسريبات واسعة. يركّز هذا الملخص على أبرز المخاطر الموثّقة وإجراءات فورية للحد من أثرها.

الثغرات والتحديثات الأمنية العاجلة

• فايرفوكس: تحديثات حرجة لفايرفوكس 145 وESR 140.5/115.30 لسد 16 ثغرة بينها تنفيذ عن بُعد وتجاوز العزل. من بين الثغرات: CVE-2025-13023 CVE-2025-13026. ينصح بالتحديث الفوري.
• Zoom Workplace VDI على ويندوز: ثغرة رفع صلاحيات بسبب تحقق توقيع غير صحيح تُمكّن مستخدمًا محليًا من نيل صلاحيات المدير. الإصدارات الأقدم من 6.3.14 أو 6.4.12 أو 6.5.10 متأثرة. الثغرة: CVE-2025-64740. التحديث فوري مطلوب.
• مايكروسوفت: تصحيحات نوفمبر تعالج 63 ثغرة بينها ثغرة يوم صفر في نواة ويندوز قيد الاستغلال CVE-2025-62215. تحديثات تراكمية لويندوز 11 KB5068861 وKB5068865، وتحديث أمني موسّع لويندوز 10 KB5068781 مع تحديث خارج الجدول لإصلاح تسجيل ESU KB5071959. كما أُعلن انتهاء دعم أمنيات ويندوز 11 إصدار 23H2 (Home وPro) ويستلزم الترقية إلى 25H2.
• SAP: إصلاحات حرجة في SQL Anywhere Monitor وSolution Manager قد تؤدي لصلاحيات إدارية كاملة. الثغرات: CVE-2025-42890 CVE-2025-42887. التحديث الفوري مُوصى به.
• Synology BeeStation: ثغرة حرجة في BeeStation OS تتيح تنفيذ أوامر عن بُعد؛ حدّث إلى 1.3.2-65648. الثغرة: CVE-2025-12686.
• Triofox/CentreStack: ثغرات استُغلت فعليًا للسماح بإنشاء حساب مسؤول وتنفيذ ملفات خبيثة؛ أُصلحت في v16.10.10408.56683. الثغرات: CVE-2025-12480 CVE-2025-11371 CVE-2025-30406.
• كروم على أندرويد: إصدار 142.0.7444.158 يتضمّن إصلاحات أمنية وتحسينات أداء. ينصح بالتحديث عبر متجر Google Play عند توفره.

ثغرات مُستغَلّة على الأجهزة والتطبيقات

• أجهزة سامسونج: ثغرة في مكتبة معالجة الصور تسمح بتنفيذ أوامر عبر صور DNG خبيثة، استُخدمت لنشر برمجية تجسسية LANDFALL واستهدفت إيران وتركيا والمغرب، مع تقارير عن هجوم بدون تفاعل عبر واتساب. تحديث أبريل 2025 متاح، لكن رُصدت هجمات لاحقة. الأجهزة المتأثرة تشمل عائلات Galaxy حديثة. الثغرات: CVE-2025-21042 CVE-2025-21043.
• CometJacking: استغلال متصفح Comet AI عبر معلمات الروابط لسرقة بيانات من خدمات متصلة مثل Gmail وتقويم Google دون كلمة مرور، مع تجاوز للفحص عبر ترميز مثل base64. يُنصح بفصل الخدمات الحساسة وتجنّب فتح الروابط المجهولة.

تسريبات وابتزاز

• GlobalLogic وOracle EBS: مجموعة Clop استغلت ثغرة يوم صفر في Oracle E‑Business Suite CVE-2025-61882، ما أدى إلى تسريب بيانات نحو 10,500 موظف وحملة ابتزاز بمبالغ تصل إلى 50 مليون دولار. البيانات شملت معلومات هوية ومالية واسعة. يُوصى بتحديث Oracle EBS فورًا ومراقبة الحسابات البنكية وتغيير كلمات المرور.
• إضافة ضخمة إلى HIBP: إدراج 1.96 مليار حساب ضمن Synthient Credential Stuffing Threat Data المجمّعة من تسريبات وقوائم تعبئة بيانات دخول. الخطر الأكبر من إعادة استخدام كلمات المرور. ينصح بتغيير أي كلمة مرور مكررة وتفعيل المصادقة الثنائية.

تصيّد والاستيلاء على الحسابات

• KONNI: مجموعة تجسس كورية شمالية استغلت خدمة العثور على جهازي لمسح هواتف أندرويد بعد سرقة بيانات دخول غوغل عبر تصيّد موجه وملفات KakaoTalk خبيثة أدت لتثبيت RATs ثم الانتقال الجانبي. مؤشرات تقنية: RemcosRAT QuasarRAT RftRAT. الإجراء: تفعيل المصادقة الثنائية وتغيير كلمات السر وتجنّب الملفات المشبوهة.
• هجمات ATO: تصاعد الاستيلاء على الحسابات باستخدام التصيّد وتعبئة بيانات الدخول والبوتات، مؤديًا لخسائر مالية وتشويه السمعة. الإجراءات: 2FA، كلمات مرور فريدة، تحديثات مستمرة والحذر من الرسائل.
• استهداف أصحاب آيفون المسروق: رسائل تدّعي العثور على الجهاز وتستدرج لصفحات شبيهة بخدمة Find My لسرقة Apple ID. يُنصح بتجاهل الروابط، استخدام وسيلة تواصل غير مرتبطة بالحساب في رسالة القفل، وتفعيل PIN للشريحة.
• ClickFix: خدعة تطلب نسخ أوامر إلى الطرفية لتثبيت برمجيات مثل Shamos وPureRAT عبر مواقع ورسائل مزيفة. الإجراء: عدم لصق أوامر من مصادر غير موثوقة وتحديث الحماية.

برمجيات خبيثة واتجاهات الذكاء الاصطناعي

• RansomHub مع SocGholish: تحديث متصفح مزيف فعّل سلسلة هجوم شملت مهام مجدولة، وكيل SOCKS بايثون، واستغلال إعدادات Active Directory وCertificate Services للحصول على صلاحيات مدير وتهريب بيانات عبر AzCopy. مؤشرات: SocGholish AzCopy.exe %LOCALAPPDATA%\ConnectedDevicesPlatform $env:APPDATA\Microsoft\Signatures. الإجراءات: عدم التحديث من مصادر غير رسمية، مراجعة إعدادات AD/ADCS، 2FA، مراقبة السجلات.
• تعطيل Rhadamanthys: تفكيك بنية البرمجية لسرقة المعلومات التي انتشرت عبر برامج مقرصنة وإعلانات خبيثة؛ توصي المواد بفحص الأجهزة وتغيير كلمات المرور وتفعيل 2FA.
• ثغرات في نماذج الذكاء الاصطناعي: دراسة تكشف نجاح هجمات محادثات متعددة الخطوات في تجاوز الحماية لدى نماذج مفتوحة مثل Llama 3 وQwen وMistral وFalcon بنسب تجاوزت 85% في بعض الحالات، ما يمكّن من توليد أكواد خبيثة أو كشف بيانات حساسة. الإجراءات: حماية سياقية، مراقبة المحادثات، اختبارات أمنية دورية وعدم الاكتفاء بحماية النموذج.
• OWASP Top 10 لعام 2025: استمرار تصدّر التحكم المكسور في الوصول، مع إضافة فشل سلسلة التوريد ومخاطر جديدة مثل سوء التعامل مع الظروف الاستثنائية وهجمات prompt injection، وتراجع الحقن إلى المرتبة الخامسة. التوصيات: مراجعة إعدادات الوصول وفق مبدأ المنع الافتراضي، تحديث المكونات، واختبار التطبيقات ضد هذه المخاطر.

توصيات

• تحديث فوري للمنتجات المذكورة: فايرفوكس، Zoom VDI، Oracle EBS، SAP، Synology BeeStation، أجهزة سامسونج Galaxy، ويندوز 11 و10، كروم على أندرويد، Triofox/CentreStack.
• تفعيل المصادقة الثنائية، وتغيير كلمات المرور المكررة أو المشتبه بتسريبها.
• تجنّب الروابط والملفات والأوامر غير الموثوقة، خاصة تحديثات المتصفح المزيفة وروابط متصفحات الذكاء الاصطناعي.
• مراقبة الحسابات البنكية والتنبيهات الأمنية للحسابات المتأثرة.
• للمؤسسات: مراجعة إعدادات Active Directory وCertificate Services وتقليل الامتيازات.