ملخص تهديدات الأمن السيبراني17-12-2025

مشهد التهديدات اليومي شهد استغلالات نشطة لثغرات حرجة في أطر الويب والبنية التحتية، إلى جانب حملات برمجيات خبيثة تستهدف المتصفحات وأجهزة أندرويد. كما برزت تسريبات بيانات حساسة تطال خدمات واسعة الانتشار، وحملات تصيّد للاستيلاء على الحسابات. أدناه خلاصة مركّزة بحسب الفئات.

الثغرات والاستغلالات النشطة

• React Server/Next.js: ثغرة CVE-2025-55182 (React2Shell) مع CVE-2025-66478 تُمكّن تنفيذ أوامر عن بُعد دون مصادقة، تؤثر على إصدارات React من 19.0.0 حتى 19.2.0 وNext.js من 14.3.0-canary.77 حتى 16.0.6، مع استغلال نشط وتثبيت برمجيات مثل Minocat وSnowLight وCompood وHisonic وAngryrebel.Linux.
• Fortinet FortiCloud SSO: ثغرتا تجاوز مصادقة قيد الاستغلال CVE-2025-59718 وCVE-2025-59719 على FortiOS وFortiWeb وFortiProxy وFortiSwitchManager عبر رسائل SAML مزوّرة، مع تصدير إعدادات الأجهزة بعد الاختراق.
• JumpCloud Remote Assist لويندوز: تصعيد صلاحيات محلي إلى SYSTEM عبر CVE-2025-34352 بسبب تعامل إزالة التثبيت مع مجلد مؤقت قابل للتحكم.
• WebKit (أجهزة آبل): ثغرة يوم-صفر CVE-2025-43529 من نوع use-after-free تُستغل بزيارة صفحات خبيثة لتشغيل تعليمات برمجية.
• OpenShift GitOps: CVE-2025-13888 تسمح لمسؤولي النطاق بتصعيد الصلاحيات إلى الجذر على مستوى العنقود.
• Jupyter Notebook على ويندوز: CVE-2025-53000 في تصدير PDF عبر nbconvert تسمح بتشغيل سكربت خبيث من المسار الحالي؛ لم تُعالج بعد.
• وحدات رأس سيارات بمودم Unisoc UIS7862A: تجاوز سعة في بروتوكول 3G RLC (CVE-2024-39431، CVE-2024-39432) يتيح تنفيذ أوامر على المودم ومنها إلى أندرويد الداخلي.
• VirtualBox: ثغرة قديمة CVE-2017-3558 في شبكة NAT (Slirp) تمكّن مهاجم داخل VM من التأثير على المضيف.
• تحديث كروم على أندرويد: إصدار 143.0.7499.146 يتضمن إصلاحات أمنية مهمة.

توصيات

• تحديث React وNext.js إلى الإصدارات الآمنة (React 19.0.1/19.1.2/19.2.1 وNext.js 15.0.5 فما بعد) ومراقبة محاولات الاستغلال.
• تحديث أجهزة Fortinet المتأثرة وتعطيل FortiCloud SSO مؤقتاً، وقصر الواجهة الإدارية على الشبكة الداخلية.
• ترقية JumpCloud Remote Assist إلى 0.317.0 أو أحدث، وتدقيق سجلات الأنشطة.
• تثبيت تحديثات آبل عند صدورها وتجنب الروابط المشبوهة، ومتابعة تصحيحات Jupyter/nbconvert.
• تحديث وحدات الرأس/VirtualBox فوراً والحد من أوضاع الشبكة الخطرة.

برمجيات خبيثة وحملات على المتصفحات والأجهزة

• SantaStealer: برنامج تجسس يُباع عبر تيليجرام، يعمل كملف DLL، يسرق كلمات المرور والمحافظ الرقمية والوثائق ويرحّلها عبر HTTP غير مشفر؛ نسخة معاد تسميتها من Blueline Stealer.
• إضافات كروم/إيدج تتجسس على محادثات الذكاء الاصطناعي: Urban VPN Proxy و1ClickVPN Proxy وUrban Browser Guard وUrban Ad Blocker تجمع محادثات ChatGPT وGemini وCopilot بإرصالها لخوادم المطورين. مؤشرات: analytics.urban-vpn.com stats.urban-vpn.com.
• GhostPoster على فايرفوكس: 17 إضافة تخفي شيفرة ضارة داخل صور الشعار (PNG) وتنفذ احتيال إعلانات وحقن أكواد بعد 48 ساعة.
• Cellik على أندرويد: أداة لدمج برمجية خبيثة داخل تطبيقات مشهورة من Google Play مع قدرات بث الشاشة وسرقة الملفات واعتراض الإشعارات.
• تصاعد تهديدات أندرويد: ارتفاع كبير في الإعلانات المزعجة وبرمجيات التجسس وأحصنة طروادة مثل MobiDash وTriada وSpyLoan وAlbiriox.

توصيات

• إزالة الإضافات المتأثرة فوراً، واعتبار المحادثات منذ يوليو 2025 مكشوفة عند وجودها.
• تثبيت التطبيقات من المتاجر الرسمية فقط، وتفعيل Google Play Protect ومراجعة الأذونات.
• تشغيل مضاد فيروسات وتفعيل التحقق بخطوتين، وتجنب فتح المرفقات/الروابط المجهولة.

تسريبات بيانات حساسة

• Pornhub: تسريب سجلات بحث/مشاهدة لبعض مستخدمي Premium عبر بيانات تحليلات لدى Mixpanel؛ لا تشمل كلمات المرور أو المدفوعات. جماعة ShinyHunters أعلنت المسؤولية.
• 700Credit: هجوم سلسلة توريد كشف بيانات هوية حساسة لنحو 5.6 مليون شخص.
• SoundCloud: وصول غير مصرح به إلى لوحة خدمات مساعدة أدى لتسريب عناوين بريد ومعلومات عامة لحوالي 20٪ من المستخدمين.
• Hama Film (أكشاك تصوير): تخزين صور بمسارات قابلة للتخمين كشف مئات الصور الخاصة دون تسجيل دخول.

توصيات

• مراقبة الحسابات والتنبيهات الأمنية، وتغيير كلمات المرور عند الاشتباه، والحذر من رسائل التصيّد والابتزاز.
• الجهات المنفذة للخدمات يجب أن تراجع سياسات الحماية وتقييد الوصول إلى المحتوى المخزن.

التصيّد والاستيلاء على الحسابات

• GhostPairing على واتساب: حملة تصيّد تستغل ربط الأجهزة عبر صفحات مزيفة تطلب رقم الهاتف والكود، ما يتيح ربط جهاز المهاجم خفية. مؤشرات: photobox.life postsphoto.life yourphoto.life fotopost.live.
• النطاقات المتوقفة/الشبيهة: أكثر من 90٪ من الزيارات تؤدي إلى محتوى ضار أو احتيالي، مع استقبال بعض النطاقات الشبيهة رسائل بريد مرسلة بالخطأ.

توصيات

• مراجعة «الأجهزة المرتبطة» في واتساب وفصل الجلسات غير المعروفة وتفعيل التحقق بخطوتين.
• التحقق الدقيق من أسماء النطاقات، واستخدام مدير كلمات مرور وتفعيل الحماية من التصيّد في المتصفح.

تهديدات للبنية التحتية والسحابة

• Sandworm (APT44): استهداف أجهزة الشبكة ضعيفة الإعداد لدى الطاقة والاتصالات والسحابة، بما في ذلك الشرق الأوسط، مع سرقة بيانات الدخول والتموضع عبر خوادم وسيطة. ثغرات مستغلة سابقاً: CVE-2022-26318 CVE-2021-26084 CVE-2023-22518 CVE-2023-27532.
• أنظمة طاقة شمسية متصلة: اعتماد بروتوكول Modbus دون مصادقة يتيح إيقاف التوليد عن بُعد عبر المنفذ TCP port 502 وأدوات مثل modbus-discover modbus-read mbpoll و«Metasploit modbus modules».
• فدية تستهدف الهايبرفايزر: مجموعات مثل Akira تهاجم ESXi/Hyper-V جماعياً، مع استغلال CVE-2024-37085 وتشفير عبر أدوات مدمجة مثل openssl.
• تعدين عملات على AWS: حملة تستغل بيانات اعتماد IAM مخترقة لنشر حاويات خبيثة مثل yenik65958/secret وتشغيل SBRMiner-MULTI ضد EC2/ECS، ومؤشرات: asia[.]rplant[.]xyz eu[.]rplant[.]xyz na[.]rplant[.]xyz.

توصيات

• إغلاق الواجهات الإدارية المكشوفة، تفعيل مصادقة قوية وتجزئة الشبكة، ومراجعة السجلات وتغيير بيانات الدخول عند الشك.
• عزل أنظمة الطاقة الشمسية عن الإنترنت وإغلاق المنفذ 502 ومراقبة الحركة.
• تحديث الهايبرفايزر، تفعيل MFA للإدارة، عزل شبكة الإدارة، وحفظ نسخ احتياطية غير قابلة للتعديل.
• على AWS: تفعيل GuardDuty وRuntime Monitoring، تطبيق أقل صلاحيات على IAM، فرض MFA، ومراقبة CloudTrail؛ منع إنشاء Lambda URL العامة دون مصادقة.