ملخص تهديدات الأمن السيبراني18-12-2025

يوم مزدحم باستغلالات يوم صفر وثغرات حرجة طالت بوابات البريد ومنتجات الشبكات، مع حملات تصيّد متعددة المنصات وسلاسل توريد برمجية مسمومة. برز أيضًا تسريب بيانات واسع ونشاط تعدين عبر حسابات سحابية مخترقة، إلى جانب تحديثات عاجلة يجب تطبيقها فورًا.

استغلالات نشطة وثغرات 0-day

• أجهزة Cisco Secure Email/AsyncOS: استغلال ثغرة يوم صفر CVE-2025-20393 عند تفعيل «Spam Quarantine» على الإنترنت، لتنفيذ أوامر بصلاحيات الجذر وزرع أدوات مثل AquaShell وAquaTunnel وAquaPurge وChisel. لا تحديث بعد، ورُصدت مؤشرات: 172.233.67.176 172.237.29.147 38.54.56.95 وهاشات: 2db8ad6e0f43e93cc557fbda0271a436f9f2a478b1607073d4ee3d20a87ae7ef 145424de9f7d5dd73b599328ada03aa6d6cdcee8d5fe0f7cb832297183dbe4ca 85a0b22bd17f7f87566bd335349ef89e24a5a19f899825b4d178ce6240f58bfc.
• Fortinet: ثغرتا تجاوز مصادقة عبر FortiCloud SSO CVE-2025-59718 وCVE-2025-59719 تؤثران على FortiOS وFortiSwitchMaster وFortiProxy وFortiWeb، وتم رصد استغلال فعلي لسرقة ملفات الإعدادات والوصول الإداري.
• SonicWall SMA1000: تسلسل هجمات يجمع CVE-2025-40602 (تصعيد صلاحيات) وCVE-2025-23006 (أوامر عن بعد دون مصادقة) يؤدي لتحكم كامل بالجهاز. تحديثات متاحة.
• React2Shell: ثغرة حرجة في React Server Components CVE-2025-55182 مع ثغرات مرتبطة CVE-2025-55183 وCVE-2025-67779 تُستغل على نطاق واسع، شملت هجمات فدية Weaxor تركت امتداد .WEAX وملف RECOVERY INFORMATION.txt.
• مودم سيارات Unisoc UIS7862A: استغلال عن بعد عبر ثغرة RLC CVE-2024-39432 يتيح تنفيذ تعليمات قبل تفعيل الحماية ثم التحرك نحو نظام أندرويد للسيارة.

توصيات

• تعطيل «Spam Quarantine» أو حصر وصولها إن أمكن على أجهزة Cisco، وفحص المؤشرات المذكورة وإعادة البناء عند الاشتباه.
• تحديث منتجات Fortinet المتأثرة فورًا، ومراجعة سجلات SAML وتعطيل FortiCloud SSO مؤقتًا عند الضرورة.
• ترقية SonicWall SMA1000 إلى الإصدارات الآمنة وقصر الوصول الإداري.
• تحديث أطر React/Next.js والبحث عن نشاط أو وصول غير مصرّح به.
• التواصل مع مصنع السيارة لتحديث البرمجيات وتقييد الاتصالات حتى صدور ترقيعات.

حملات خبيثة وتصيد وهندسة اجتماعية

• DarkGate عبر «ClickFix»: خدعة تدّعي فقدان إضافة «Word Online» وتدفع المستخدم لنسخ أوامر PowerShell من زر «How to fix»، ثم تحميل حمولة من linktoxic34.com ووضع ملف c:\users\public\nC.hta.
• GhostPoster على فايرفوكس: إضافات مزيفة (مثل Free VPN Forever) تخفي كودًا داخل صور PNG وتتصل بـ liveupdt[.]com وdealctr[.]com وتستخدم معرف Google Analytics UA-60144933-8 لسرقة بيانات وتلاعب إعلاني.
• منتدى ForumTroll: تصيّد يستهدف أكاديميين مع استغلال يوم صفر في كروم CVE-2025-2783 وبنية وصول عن بعد (Tuoni)، ومؤشر e-library[.]wiki.
• كيمسوكي على أندرويد: رموز QR تقود لتحميل تطبيق خبيث SecDelivery.apk يطلب صلاحيات واسعة ويُنشئ تحكمًا كاملاً؛ مؤشرات: SecDelivery.apk 27.102.137.181 742938128549.
• ربط أجهزة واتساب: صفحات تحقق وهمية تستدرج رمز الربط للاستحواذ على المحادثات والوسائط.
• تصيّد عبر PDF بعنوان Purchase Order: زر داخل الملف يقود لصفحة تسجيل دخول وهمية تُرسل البيانات إلى تليجرام؛ مؤشرات: ionoscloud.com وTelegram chat ID: 5485275217.
• Ink Dragon وShadowPad على IIS: تحويل خوادم IIS المخترقة لعُقد خفية لإعادة توجيه الأوامر والتجسس والتنقل الأفقي.
• جذور كيت Singularity على لينوكس 6.x: وحدة نواة تخفي العمليات والملفات والاتصالات، تعطل أدوات المراقبة وتمنح تصعيد صلاحيات وقناة ICMP خفية.

توصيات

• تجنّب لصق أوامر من مواقع غير موثوقة، وفحص الأجهزة ببرامج حماية محدثة.
• مراجعة إضافات المتصفح وحذف الإضافات المجانية المشبوهة، خصوصًا أدوات VPN ومانعي الإعلانات غير الموثوقين.
• تحديث كروم فورًا، والحذر من مرفقات وروابط البريد، خصوصًا PDF وملفات الاختصار.
• على أندرويد، عدم تثبيت تطبيقات خارجية عبر رموز QR، ومراجعة صلاحيات التطبيقات.
• في واتساب، مراجعة الأجهزة المرتبطة وتمكين التحقق بخطوتين.

سلسلة التوريد والحزم والمكتبات

• npm: إغراق السجل بأكثر من 150,000 حزمة ضمن حملات «Indonesian Tea» و«IndonesianFoods» لرفع السمعة وجني مكافآت رموز Tea، وغالبًا بلا كود ضار.
• NuGet: 14 حزمة خبيثة تسرق محافظ العملات الرقمية وتستهدف حسابات Google Ads عبر حزمة GoogleAds.API لسرقة رموز OAuth.
• ثغرات بمكتبات libbiosig وGrassroot DiCoM وSmallstep step-ca: تجاوزات سعة وقراءة خارج الحدود وتجاوز تحقق الهوية؛ بعضُها دون ترقيع. الثغرات: CVE-2025-66043 CVE-2025-66044 CVE-2025-66045 CVE-2025-66046 CVE-2025-66047 CVE-2025-66048 CVE-2025-53618 CVE-2025-53619 CVE-2025-52582 CVE-2025-48429 CVE-2025-44005.

توصيات

• التحقق من مصدر الحزم قبل التثبيت وتجنّب الأسماء المتشابهة والهوموجليف.
• تحديث المكتبات حال صدور ترقيعات وتجنب فتح ملفات غير موثوقة.
• فحص المشاريع وإزالة الحزم المشبوهة وتدوير المفاتيح المتأثرة.

تسريبات وابتزاز

• Pornhub Premium عبر Mixpanel: تسريب سجلات مشاهدة وبحث لأكثر من 200 مليون مستخدم سابق، وهجوم تصيّد استهدف موظفًا لدى Mixpanel، مع ابتزاز من ShinyHunters. لا كلمات مرور أو بطاقات ائتمانية ضمن التسريب بحسب التصريحات، لكن البيانات حساسة.

توصيات

• مراقبة البريد لرسائل الابتزاز أو التصيّد، وتفعيل المصادقة الثنائية.
• تغيير كلمات المرور المعاد استخدامها على خدمات أخرى.

تحديثات أمنية وتنبيهات تشغيلية وسحابة

• كروم: تحديث يسد ثغرتين خطيرتين CVE-2025-14765 (WebGPU) وCVE-2025-14766 (V8). يلزم إعادة تشغيل المتصفح بعد التحديث.
• Windows Desktop Window Manager: ثغرة تصعيد صلاحيات CVE-2025-55681 تمت معالجتها من مايكروسوفت؛ التأثير أكبر على Windows 11.
• Nagios XI: تصحيح ثغرة تصعيد صلاحيات إلى الجذر CVE-2025-34288 عبر الإصدار 2026R1.1.
• تحديث أمني لمايكروسوفت عطّل خدمة MSMQ على أنظمة ويندوز أقدم بسبب تغيّر صلاحيات مجلد التخزين، مع رسائل خطأ مضللة مثل «لا توجد مساحة كافية». إلغاء التحديث قد يحل المشكلة لكنه يعرض النظام لمخاطر.
• Exchange Online: حظر الأجهزة التي تستخدم EAS أقل من 16.1 اعتبارًا من 1 مارس 2026، ويتطلب تحديث التطبيقات والأجهزة.
• ويندوز وActive Directory: إيقاف دعم RC4 الضعيف بحلول منتصف 2026، مع إمكانية التفعيل اليدوي فقط ومشورة لاستخدام AES-SHA1 ومراجعة سجلات KDC.
• AWS: حملة تعدين تستغل بيانات اعتماد IAM صالحة لنشر صورة حاوية خبيثة من Docker Hub yenik65958/secret وتشغيل أداة SBRMiner-MULTI عبر EC2 وECS.

توصيات

• تحديث الأنظمة والبرمجيات المذكورة فورًا وتطبيق التصحيحات.
• لمشكلة MSMQ، التنسيق مع دعم مايكروسوفت للوصول إلى حل مؤقت بديل عن التراجع عن التحديث.
• على AWS، تدوير جميع بيانات اعتماد IAM المشكوك بها، ومراقبة EC2/ECS، وتعطيل الحماية من الإنهاء لإيقاف الأجهزة المشبوهة عند الحاجة.