ملخص تهديدات الأمن السيبراني13-12-2025
يوم حافل بثغرات حرجة واستغلالات نشطة طالت أطر الويب وأنظمة ويندوز، إلى جانب تحديثات عاجلة من آبل وكروم وChromeOS. كما رُصدت حملات برمجيات خبيثة وتصيد متطور، وتسرّب واسع لأسرار ضمن صور Docker.
ثغرات حرجة واستغلالات نشطة
- React2Shell في React Server Components تسمح بتنفيذ أوامر عن بُعد دون مصادقة وتُستغل على نطاق واسع ضد أطر مثل Next.js. شوهدت نشاطات لأكثر من 15 مجموعة، منها
KinsingوC3PoolوEtherRatوBPFDoorوأدوات C2 مثلSliver، مع تقنيات إخفاء مثل تعديل السجلات وتغيير التوقيتات. المؤشرات:CVE-2025-55182. - 0‑day في خدمة ويندوز RasMan يسمح بإسقاط الخدمة واستغلال سلسلة لرفع الصلاحيات إلى SYSTEM بالاعتماد على
CVE-2025-59230. نُشر استغلال عملي ولم يُصحّح بعد. - ثغرة تصعيد صلاحيات قيد الاستغلال في Windows Cloud Files Mini Filter من نوع use-after-free. المؤشر:
CVE-2025-62221. - GeoServer يتأثر بثغرة XXE تم استغلالها عبر إدخال XML غير آمن في مسار wms، ما يسمح بسرقة ملفات وتنفيذ SSRF أو حجب خدمة. المؤشر:
CVE-2025-58360. - مكتبة الصور Quram على أجهزة سامسونج تُمكّن استغلالاً عبر صور DNG مرسلة في واتساب يؤدي لتنفيذ أوامر عن بُعد (1‑نقرة). المؤشر:
CVE-2025-21042.
توصيات
- تحديث حزم React المرتبطة بـ RSC فوراً إلى الإصدارات المرقعة، وتقييد نقاط نهاية RSC بجدار تطبيقات ووكيل عكسي، ومراقبة رؤوس الاستجابة مثل ‘Vary: RSC, Next-Router-State-Tree’.
- لنُظم ويندوز: تطبيق حلول مؤقتة مثل 0patch لثغرة RasMan ومتابعة تحديثات مايكروسوفت، وتثبيت تصحيحات
CVE-2025-62221عند توفرها. - تحديث GeoServer فوراً ومراقبة السجلات للاتصالات غير الاعتيادية.
- تحديث أجهزة سامسونج إلى آخر حزم الأمان وتجنّب فتح صور مشبوهة.
ثغرات وتحديثات أمنية مهمة
- ثلاث ثغرات عالية الخطورة في مكتبات RSC تؤدي لرفض الخدمة وتسريب أسرار الأكواد. المؤشرات:
CVE-2025-55184وCVE-2025-67779وCVE-2025-55183؛ تؤثر على إصدارات 19.0.0 حتى 19.2.2 من حزم react-server-dom-*. - ChromeOS LTS‑138.0.7204.299 يسد ثغرة عالية في V8 قد تسمح بتنفيذ تعليمات برمجية. المؤشر:
CVE-2025-13042. - تحديثات عاجلة من آبل وجوجل لمعالجة ثغرة استُغلت في متصفح كروم، مع توصية بالتحديث الفوري.
- تحديث macOS Tahoe 26.2 يتضمن إصلاحات لـ 48 ثغرة وتحسينات في WebKit والخصوصية.
- تحديثات طارئة من آبل لسد ثغرتين 0‑day في WebKit استُغلّتا في هجمات تجسس متقدمة. المؤشرات:
CVE-2025-43529وCVE-2025-14174.
توصيات
- تحديث ChromeOS وكروم وiOS/iPadOS/macOS وSafari إلى أحدث الإصدارات فوراً.
- لمشاريع React: لا تعتمد على تصحيحات قديمة، وثبّت الإصدارات المعلَنة حديثاً للحزم المتأثرة.
حملات برمجيات خبيثة
- PyStoreRAT تستهدف مطوري GitHub عبر مستودعات جذابة تبدو شرعية ثم تُحدَّث لزرع السيطرة عن بُعد وسرقة البيانات والانتشار عبر USB. مؤشرات:
https://github.com/setls/HacxGPTوhttps://github.com/bytillo/spyder-osintوhttps://github.com/gonflare/KawaiiGPTوhttps://github.com/aiyakuaile/easy_tv_live. - Oyster تُنشر عبر تنزيلات مزيفة لـ Microsoft Teams وGoogle Meet باستخدام SEO poisoning وmalvertising؛ تزرع
AlphaSecurity.dllوتُشغَّل دورياً، وارتبطت بهجمات فدية مثل Rhysida. مؤشرات:MSTeamsSetup.exe،AlphaSecurity.dll. - JSCEAL نسخة مطورة تستهدف مستخدمي العملات الرقمية على ويندوز، تُخفي الحمولة عبر PDF وهمي وتُهرّب البيانات باستخدام PowerShell ونطاقات C2 أحادية الكلمة. مؤشرات:
download-app-windows.com،emberstolight.com. - تورنت مزيف لفيلم يخفي Agent Tesla داخل ملف ترجمة يُعيد بناء سكربتات PowerShell لسرقة كلمات المرور وبيانات VPN والتقاط الشاشة.
- AMOS على macOS تُروَّج عبر نتائج بحث تتضمن محادثات ذكاء اصطناعي مزيفة توجّه لتنفيذ أوامر Terminal تؤدي للتثبيت والسرقة.
توصيات
- تحميل البرمجيات من المصادر الرسمية فقط؛ تجنّب المشاريع المجهولة والمستودعات المغرية.
- مراقبة وتنبيه نشاط PowerShell غير المعتاد، وتحديث حلول الحماية بشكل دائم.
- تجنّب تنفيذ أوامر من صفحات أو محادثات غير موثوقة، وفحص الأجهزة عند الاشتباه بعدوى.
تصيّد وهندسة اجتماعية
- ConsentFix يجمع بين استغلال صلاحيات OAuth في Azure CLI وخداع المستخدمين لنسخ رموز محلية ومنح وصول كامل للحساب. مؤشرات نطاقات:
trustpointassurance.com،fastwaycheck.com،previewcentral.com. - حملة تستهدف Microsoft 365 ثم تعيد التوجيه إلى Okta لتجاوز المصادقة الثنائية وسرقة البيانات وملفات تعريف الارتباط. مؤشرات:
employee-hr-portal.com،corporate-hr-portal.com،mybenefits-portal.com،sso.oktasecure.io،sso.okta-cloud.com،sso.okta-secure.io. - بحث يوضح مسار بيانات الضحايا بعد التصيد: تُجمع وتُفرَز عبر بوتات تليجرام ولوحات تحكم، وتركّز 88.5٪ على بيانات الدخول، لتباع وتُستغل لاحقاً في هجمات أو انتحال.
توصيات
- توعية المستخدمين بعدم إدخال رموز أو لصقها خارج القنوات الرسمية، وتفعيل تنبيهات الأنشطة المشبوهة.
- اعتماد مصادقة مقاومة للتصيّد، ومراقبة سجلات الدخول، وتجنّب الروابط المختصرة والمرفقات المشبوهة.
تسريبات وابتزاز
- أكثر من 10,000 صورة Docker Hub احتوت أسراراً حساسة (مفاتيح API، بيانات قواعد بيانات، توكنات CI/CD والذكاء الاصطناعي). 42٪ ضمّت خمسة أسرار أو أكثر، و75٪ من المفاتيح لم تُبطَل.
- إضافة 630 مليون كلمة مرور إلى خدمة Have I Been Pwned، منها 7.4٪ (46 مليون) جديدة تماماً.
- اتساع هجمات الفدية عالمياً مع نشاط متزايد لمجموعة LockBit واستهداف أكبر للقطاع العام، خاصة الجهات المحلية ضعيفة الدفاعات.
توصيات
- فحص الصور والمستودعات بحثاً عن أسرار مكشوفة، وإبطال المفاتيح المسرّبة فوراً، واعتماد أسرار وقت التشغيل فقط.
- التحقق من كلمات المرور واستبدال الضعيف أو المُسرَّب، وتفعيل المصادقة المتعددة العوامل.
- تعزيز النسخ الاحتياطي وإغلاق المنافذ والخدمات المكشوفة وتحديث الأنظمة بانتظام.
أبحاث وهجمات على المنصات
- KernelSnitch: قناة جانبية زمنية في نواة لينكس تُسرّب مؤشرات ذاكرة وتتيح قناة خفية بسرعة تصل إلى 580 كيلوبت/ث، مع إمكان تسريب مؤشر في أقل من 65 ثانية.
- ثغرات في شبكات Zigbee الصناعية بسبب مفاتيح افتراضية وضعف إدارة المفاتيح وغياب تشفير طرفي، ما يتيح حقن أوامر وانتحال المنسّق وتعطيل الأجهزة.
- حملة تجسسية Ashen Lepus تستخدم برمجية AshTag لاختراق جهات حكومية ودبلوماسية في عُمان والمغرب والسلطة الفلسطينية، عبر PDF مزيف يحمّل حمولة خبيثة لسرقة المستندات.
توصيات
- تحديث النواة والحفاظ على عزل صارم للعمليات وتقليل مشاركة الموارد.
- في البيئات الصناعية: مفاتيح فريدة لكل جهاز وتفعيل تشفير طرفي وتحديثات إلى Zigbee 3.0 أو أحدث، مع مراقبة محاولات الانضمام.
- الحذر من مرفقات PDF وأرشيفات RAR غير المعروفة، وتفعيل المصادقة الثنائية ومراقبة البريد المستهدف.
