ملخص تهديدات الأمن السيبراني12-12-2025

يوم حافل باستغلالات واسعة لثغرات حرجة وتحديثات عاجلة. برزت React2Shell كأخطر تهديد على الخوادم، مع تحديثات عاجلة لكروم وحزمة تصحيحات كبيرة من مايكروسوفت. كما تصاعدت حملات التصيّد والبرمجيات الخبيثة على أندرويد وmacOS، وكُشف عن تسريبات أسرار في صور Docker.

الثغرات والتحديثات الأمنية

  • React2Shell — RCE في React Server Components (CVE-2025-55182): ثغرة حرجة تسمح بتنفيذ أوامر عن بُعد دون مصادقة بسبب معالجة غير آمنة لبيانات بروتوكول «Flight». تؤثر على إصدارات 19.0.0 حتى 19.2.0، وتم استغلالها على نطاق واسع لنشر برمجيات خبيثة (Mirai، SnowLight، Vshell، NoodlerRat، BPFDoor، RAT، وتعدين). رُصد أكثر من 165,000 عنوان IP و644,000 نطاق معرضين، وأكثر من 127 مليون محاولة استغلال خلال أسبوع.
  • تحديث عاجل لكروم: إصلاح فوري لثغرة يتم استغلالها فعلياً (المعرّف 466192044، بلا CVE بعد). الإصدارات: ويندوز/ماك 143.0.7499.109/.110، لينكس 143.0.7499.109. شمل التحديث أيضاً CVE-2025-14372 (مدير كلمات المرور) وCVE-2025-14373 (شريط الأدوات).
  • تصحيحات مايكروسوفت لشهر ديسمبر: 56 تصحيحاً بينها 19 تنفيذ أوامر عن بعد و28 تصعيد صلاحيات، مع ثغرة مستغلة نشطاً CVE-2025-62221 وست أخرى مرشحة للاستغلال. شملت التصحيحات Edge وأدوبي ريدر وكولدفيجن وAzure Linux/CBL Mariner، وبعض ثغرات أوفيس على ماك بانتظار تحديثات. الثغرات المذكورة: CVE-2025-62554 CVE-2025-62557 CVE-2025-62221 CVE-2025-62454 CVE-2025-59516 CVE-2025-59517 CVE-2025-64671.
  • Jenkins — حجب خدمة دون مصادقة (CVE-2025-67635): خلل في CLI عبر HTTP يسمح بطلبات معطوبة تستهلك الموارد وتعطل الخدمة. يؤثر حتى 2.540 وLTS حتى 2.528.2. يُوصى بالتحديث إلى 2.541 وLTS 2.528.3 أو تقييد CLI شبكياً.
  • Gogs — يوم صفر RCE (CVE-2025-8110): ضعف تحقق من الروابط الرمزية في PutContents API يتيح كتابة ملفات خارج المستودع والسيطرة على الخوادم. رُصدت اختراقات واسعة واستخدام C2 مثل Supershell. مؤشر: 119.45.176[.]196.
  • SOAPwn في .NET: سلسلة ثغرات في بروكسي HTTP تسمح بإعادة توجيه وكتابة ملفات خبيثة عبر WSDL. المنتجات المتأثرة تشمل Barracuda Service Center RMM (CVE-2025-34392) وIvanti Endpoint Manager (CVE-2025-13659)، إضافة إلى Umbraco 8 وPowerShell وSSIS. مايكروسوفت لم تُحدث الإطار الأساسي؛ تصحيحات متوفرة من Barracuda وIvanti.
  • Notepad++: إصدار 8.8.9 يسد ضعفاً في أداة التحديث WinGUp بعد رصد تحديثات مزورة. التحديث يفرض التحقق من التوقيع.
  • Gladinet CentreStack/Triofox — RCE بسبب مفاتيح ثابتة: مفاتيح تشفير ثابتة داخل GladCtrl64.dll تُمكن فك تذاكر الوصول وتزويرها وتسريب بيانات وتنفيذ أوامر. يُوصى بالتحديث إلى 16.12.10420.56791 وتغيير machineKey وفحص السجلات عن السلسلة vghpI7EToZUDIZDdprSubL3mTZ2. مؤشرات: 147.124.216.205، vghpI7EToZUDIZDdprSubL3mTZ2.

توصيات

  • تحديث React Server Components والحزم المرتبطة فوراً، وتفعيل WAF ومراجعة السجلات وحظر مؤقت لعبارات POST المتضمنة «#constructor» و«child_process#execSync».
  • تحديث كروم على الفور وإعادة التشغيل. تطبيق تصحيحات مايكروسوفت عبر Windows Update ومتابعة تحديثات أوفيس على ماك.
  • تحديث Jenkins وGogs وCentreStack/Triofox، وتقليل التعرض للإنترنت وتقييد الوصول للخدمات الحساسة.
  • تحديث منتجات Barracuda وIvanti المتأثرة بـ SOAPwn، وتقييد تحميل WSDL من مصادر غير موثوقة.

المؤشرات الفنية — React2Shell

CVE-2025-55182
hxxp://172.237.55.180/b
hxxp://176.117.107.154/bot
hxxp://41.231.37.153/rondo.aqu.sh
0450fe19cfb91660e9874c0ce7a121e0
3ba4d5e0cf0557f03ee5a97a2de56511
gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh
011a62df99e52c8b73e259284ab1db47
c3924fc5a90b6120c811eb716a25c168c72db0ba
fb3a6bdf98d5010350c04b2712c2c8357e079dec2d2a848d0dc2def2bafcc984
tsd.sh
3ba7c58df9b6d21c04eaa822738291b60c65b7c8
init.sh
88af4a140ec63a15edc17888a08a76b2
da33bda52e9360606102693d68316f4ec1be673e
5a6fdcb5cf815ce065ee585a210c19d1c9efb45c293476554bf1516cc12a1bab
b.sh
1e54a769e692a69d74f598e0b1fdb2949f242de3

برمجيات خبيثة وفدية

  • DroidLock على أندرويد: برمجية خبيثة تنتشر عبر مواقع تصيّد باللغة الإسبانية، تحصل على صلاحيات مدير الجهاز لقفل الهاتف وتغيير رموزه ومسح البيانات والتقاط الصور وتسجيل الشاشة وابتزاز الضحية دون تشفير الملفات. ما العمل الآن: تثبيت التطبيقات من متجر Play فقط، تفعيل الحماية من التطبيقات الضارة، مراجعة الصلاحيات، إلغاء صلاحيات المدير للتطبيقات المشبوهة، وإعادة ضبط المصنع إذا لزم.
  • 01Flip — فدية متعددة الأنظمة: عائلة فدية مكتوبة بـ Rust تستهدف ويندوز ولينكس، ظهرت في يونيو 2025 وتستخدم AES-128-CBC مع RSA-2048، وتُنشر عبر استغلال ثغرات قديمة مثل CVE-2019-11580 ثم استخدام Sliver للبقاء. تمتلك نسخة لينكس قدرة تهرب طويلة. مؤشرات: .01flip [email protected]. ما العمل الآن: سد الثغرات القديمة، مراقبة الشبكة، وتفعيل أنظمة كشف التهديدات.
  • VSCode — إضافات خبيثة: اكتشاف 19 إضافة مزيفة تُخفي تروجان داخل ملفات PNG وتعدل حزمة npm «path-is-absolute» لتشغيل كود خبيث عند بدء VSCode، مع ملفات خبيثة منها Rust تروجان وملف cmstp.exe. ما العمل الآن: إزالة الإضافات المشبوهة (مثل Malkolm Theme وPandaExpress Theme بإصدار 1.0.0) وفحص الأجهزة.
  • macOS — حملات عبر دردشات الذكاء الاصطناعي:
    • حملة عبر ChatGPT/DeepSeek تُحمّل برمجية Shamus لسرقة كلمات المرور وبيانات Keychain ومحافظ العملات وتستبدل تطبيقات محافظ أصلية وتثبت نفسها عبر LaunchDaemon. مؤشر: 45.94.47.205/contact.
    • حملة ClickFix تستغل إعلانات غوغل ومحادثة عامة في ChatGPT لتثبيت برمجية AMOS عبر سكريبت من atlas-extension.com بعد طلب كلمة مرور النظام.

    ما العمل الآن: عدم تنفيذ أوامر طرفية من مصادر غير موثوقة أو محادثات عامة، فحص الجهاز ببرنامج حماية محدث، مراجعة LaunchDaemon والتطبيقات، وتغيير كلمات المرور خصوصاً محافظ العملات.

التصيّد والهندسة الاجتماعية

  • SharePoint وDocuSign: حملة تصيّد واسعة استهدفت أكثر من 6,000 مؤسسة برسائل إشعارات مزيفة واستخدمت خدمات إعادة توجيه لإخفاء الوجهة وسرقة بيانات الدخول، مع وصولها إلى الشرق الأوسط. ما العمل الآن: التحقق من إشعارات الوثائق، تفعيل المصادقة الثنائية، والإبلاغ عن الرسائل المشبوهة.
  • ConsentFix — استهداف حسابات مايكروسوفت عبر Azure CLI: خداع الضحايا للحصول على رمز تفويض OAuth يمنح المهاجم وصولاً كاملاً عبر Azure CLI دون معرفة كلمة المرور ودون تخطي MFA إذا كان المستخدم مسجلاً مسبقاً. ما العمل الآن: عدم لصق روابط أو رموز تفويض في مواقع غير رسمية، ومراقبة سجلات Azure CLI وتنبيهات الأمان.
  • موظفون وهميون وPiKVM: جهات تهديد انتحلت هوية موظفين جدد وتجاوزت إجراءات التوظيف، ثم استخدمت أجهزة PiKVM للسيطرة على الحواسيب وسرقة البيانات، مع ربط الهجوم بمجموعة Jasper Sleet. ما العمل الآن: تعزيز تحقق الهوية، مراقبة الأجهزة المتصلة، تفعيل سجلات التدقيق، وتعطيل الحسابات المشبوهة وفق مبدأ أقل الصلاحيات.

بوتنت وبنية C2

  • Mythic C2: أداة C2 مفتوحة المصدر تُستخدم عبر بروتوكولات SMB وTCP وHTTP/S وWebSocket وDiscord/GitHub. يمكن رصدها بتحليل حركة الشبكة والبحث عن أنماط UUID مشفرة، مع توافر قواعد Suricata مخصصة. مؤشرات: Trojan.Mythic.SMB.C&C Trojan.Mythic.TCP.C&C Trojan.Mythic.HTTP.C&C Trojan.Mythic.HTTPS.C&C Trojan.Mythic.WebSocket.C&C.

    ما العمل الآن: تفعيل IDS/NDR وتحديث القواعد، مراقبة الاتصالات مع Discord وGitHub وSMB/TCP داخلياً، وتعطيل الخدمات غير الضرورية.

تسريبات واختراقات

  • تسريب أسرار في صور Docker: أكثر من 10,000 صورة عامة تحتوي مفاتيح وأسرار نشطة تابعة لأكثر من 100 شركة، بينها بيانات دخول وخدمات إنتاج وذكاء اصطناعي. 75٪ من الرموز المسربة ظلت فعالة بعد الحذف. السبب غالباً تضمين الأسرار أثناء بناء الصور بحسابات فردية. ما العمل الآن: مراجعة الصور العامة، إزالة الأسرار، اعتماد إدارة أسرار، وإلغاء جميع الرموز المسربة فوراً.
  • تسريب حول فرق APT35 الإيرانية ومنصة «كاشف»: وثائق تُظهر هيكلية الفرق ورواتبهم ومنصة تجمع بيانات حساسة عن السفر والهوية والحدود وتسجّل تفاصيل واسعة، مع ربط تاريخي بتسريب تقارير IAEA. ما العمل الآن: على الأفراد المعرضين للمراقبة توخي الحذر وتحديث إجراءات الحماية الرقمية واستخدام تشفير قوي.
  • LastPass — غرامة بعد اختراق 2022: استغلال برمجية تجسس على جهاز موظف أدى لسرقة كلمة المرور الرئيسية والوصول إلى نسخ احتياطية وبيانات شخصية للمستخدمين. ما العمل الآن: تعيين كلمة رئيسية قوية جداً (لا تقل عن 16 حرفاً مع رموز وأرقام) وفحص الحسابات لأي نشاط مشبوه.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون