ملخص تهديدات الأمن السيبراني23-11-2025

يوم شهد ثغرات حرجة مع استغلالات نشطة، إلى جانب هجمات فدية وتسريبات بيانات وسلاسل توريد. أدناه أبرز التطورات الموثقة وخلاصة عملية للحد من الأثر.

الثغرات الحرجة والاستغلالات النشطة

• FortiWeb: سلسلتان 0-day تجمعان بين تجاوز المصادقة وحقن أوامر تتيح تنفيذ أوامر عن بُعد دون مصادقة، مع إمكانية إنشاء حساب مدير وتنفيذ أوامر بصلاحيات root. الإصدارات المتأثرة: 8.0 قبل 8.0.2، 7.6 قبل 7.6.5، 7.4 قبل 7.4.10، 7.2 قبل 7.2.12، 7.0 قبل 7.0.12، 6.4.3 وما قبلها، و6.3.23 وما قبلها. سُجل استغلال فعلي وفتح أبواب خلفية إدارية.
• Oracle Identity Manager: ثغرة تؤثر على نسخة 12c 12.2.1.4.0 ضمن Oracle Fusion Middleware بسبب نقص التحقق في واجهات REST API، ما يسمح بتنفيذ أوامر عن بُعد والسيطرة على النظام. CVE-2025-61757
• Oracle E-Business Suite: استغلال ثغرة يوم-صفر أدى لاختراق شركة كبرى بين 9 و14 أغسطس 2025، مع إخطار 9479 شخصاً وتسريب البيانات لاحقاً، وإعلان مجموعة Cl0p المسؤولية. CVE-2025-61882

الثغرات: FortiWeb

• CVE-2025-64446 CVE-2025-58034

توصيات

• تحديث FortiWeb فوراً إلى الإصدارات الموصى بها وفحص السجلات بحثاً عن حسابات إدارية غير معتادة أو طلبات API مشبوهة.
• تطبيق أحدث تصحيحات Oracle، تقييد الوصول الخارجي لواجهات الإدارة وواجهات REST، ومراقبة محاولات الدخول غير المعتادة.

هجمات الفدية والابتزاز

• Logitech: تأكيد اختراق بيانات عقب استغلال ثغرة يوم-صفر في منصة طرف ثالث؛ مجموعة Clop أعلنت سرقة 1.8 تيرابايت تشمل معلومات داخلية عن موظفين وعملاء وموردين دون تأثر أرقام البطاقات أو الهويات الوطنية، مع عدم تأثر التصنيع أو المنتجات.
• Qilin: هجوم فدية اعتمد على ScreenConnect مزور لنقل ملفات خبيثة r.ps1 وs.exe وss.exe، ومحاولات لتعطيل Windows Defender وتشغيل أدوات سرقة بيانات، إلى جانب محاولات وصول عبر RDP وإنشاء ملاحظات فدية.

المؤشرات الفنية

• af9925161d84ef49e8fbbb08c3d276b49d391fd997d272fe1bf81f8c0b200ba1 (s.exe)
• ba79cdbcbd832a0b1c16928c9e8211781bf536cc (ss.exe)
• 63bbb3bfea4e2eea (ScreenConnect)
• README-RECOVER-*.txt (ملاحظة الفدية)

توصيات

• تفعيل المصادقة الثنائية، عدم إعادة استخدام كلمات المرور، وتحديث كلمات المرور عند الشك، مع إمكانية تجميد البطاقة.
• تحديث أدوات الحماية، مراجعة سجلات الدخول والبرامج المثبتة، الإبقاء على حماية Windows Defender مفعّلة، وحذف أي برامج مشبوهة.

اختراقات سلسلة التوريد والوصول عبر OAuth

• Salesforce عبر Gainsight: استغلال رموز OAuth مسروقة من Salesloft وDrift للوصول غير المصرح به إلى بيانات عملاء Salesforce عبر Gainsight، شملت كلمات مرور ورموز Snowflake ومفاتيح وصول AWS ومعلومات علاقات العملاء ونصوص الدعم. تأكيد مسؤولية ShinyHunters وتعطيل Salesforce للرموز وإزالة التطبيقات مؤقتاً.

توصيات

• مراجعة وإلغاء التكاملات غير الضرورية مع Salesforce، تدوير كلمات المرور والرموز الحساسة، مراقبة الحسابات وتفعيل المصادقة الثنائية.

تسريبات وجمع بيانات موسّع

• CrowdStrike: تسريب داخلي نفّذه موظف سابق بمشاركة صور شاشة تحتوي روابط أنظمة منها Okta SSO، وصلت إلى مجموعة Scattered Lapsus$ Hunters. لا اختراق تقنياً ولا تأثر لبيانات العملاء.
• تطبيقات مالية أفريقية على أندرويد: كشف أسرار ضمن الحزم البرمجية في 95٪ من 224 تطبيقاً، مع 18٪ ثغرات عالية الخطورة وقدر تأثر يصل إلى 272 مليون مستخدم.
• واجهة واتساب: استغلال خاصية اكتشاف جهات الاتصال دون حدود لطلباتها لجمع 3.5 مليار رقم وصور الملفات الشخصية ونص «عن» ومعلومات عن الأجهزة؛ لاحقاً أضيفت حماية لمنع إساءة الاستخدام دون نشر البيانات للعامة.

توصيات

• لموظفي الشركة المتأثرة: تغيير كلمات المرور وتفعيل المصادقة الثنائية.
• لمستخدمي التطبيقات المالية: تحديث التطبيقات، تفعيل التحقق بخطوتين، تجنب مشاركة البيانات الحساسة، ومراجعة الأذونات.
• لمستخدمي واتساب: ضبط خصوصية صورة الملف ونص «عن»، والحذر عند مشاركة الرقم.