ملخص تهديدات الأمن السيبراني20-12-2025

يوم حافل بثغرات حرجة واستغلالات فعلية طالت بنى تحتية وأدوات شائعة، بالتوازي مع حملات تصيّد وهندسة اجتماعية متطورة واستغلالات للسحابة. كما برزت تحديثات أمنية عاجلة لمتصفحات ومنصات تطوير، وعودة نشاط مجموعات تهديد ببرمجيات خبيثة جديدة.

ثغرات واستغلالات حرجة

  • HPE OneView: ثغرة حرجة تسمح بتنفيذ أوامر عن بُعد دون مصادقة عبر REST API، تؤثر على الإصدارات 5.20 حتى 10.20. التحديث إلى 11.0 أو تطبيق التصحيح العاجل ضروري. الثغرة: CVE-2025-37164.
  • WatchGuard Firebox: ثغرة تُستغل حاليًا وتسمح بالتحكم الكامل بالجهاز عبر خدمة IKE في Fireware OS إذا كان مكشوفًا للإنترنت، وقد يبقى التعرض قائمًا رغم حذف بعض إعدادات VPN. الثغرة: CVE-2025-32978.
  • Fortinet (FortiCloud SSO): تجاوز مصادقة عبر رسائل SAML خبيثة يؤثر على منتجات متعددة مع هجمات نشطة وسرقة ملفات إعدادات حساسة. الثغرات: CVE-2025-59718 CVE-2025-59719.
  • Gladinet Triofox: يوم صفر يُستغل حاليًا بسبب ضعف التحقق من Host header يفضي لتجاوز المصادقة وتنفيذ أوامر بصلاحيات SYSTEM على ويندوز. الثغرة: CVE-2025-12480.
  • Kibana: ثغرة XSS في مكون Vega تسمح بحقن سكريبتات خبيثة بعد تسجيل الدخول، تؤثر على نطاق واسع من الإصدارات. محدد الثغرة: CVE-2025-68385.
  • Apache Log4j Core: فشل التحقق من اسم المضيف في شهادات TLS داخل Socket Appender يتيح هجوم رجل في الوسط واعتراض سجلات حساسة. الثغرة: CVE-2025-68161.
  • نواة لينكس (Binder/Rust): سباق شرطية يؤدي لفساد الذاكرة وانهيار النظام منذ الإصدار 6.18، وأصلحت في 6.18.1 و6.19-rc1. الثغرة: CVE-2025-68260.
  • WebKit/متصفحات: ثغرتان صفريتان تتيحان تنفيذ تعليمات خبيثة عبر محتوى ويب، صودق على تصحيحهما في تحديثات Apple وChrome. الثغرات: CVE-2025-43529 CVE-2025-14174.
  • UEFI (ASUS/Gigabyte/MSI/ASRock): ثغرات تسمح بهجمات DMA قبل الإقلاع نتيجة فشل تفعيل IOMMU كما يجب. الثغرات: CVE-2025-11901 CVE-2025-14302 CVE-2025-14303 CVE-2025-14304.
  • ASUS Live Update: إدراج الثغرة ضمن قائمة المستغلة فعليًا، مع خطر التحكم بالأجهزة عبر تحديثات ملوثة؛ يُنصح بالترقية إلى الإصدار 3.6.8. الثغرة: CVE-2025-59374.

ثغرات وتكوينات قد تكشف الخدمات

  • لينكس/IPv6: تقييم مستقل لحركة IPv4 وIPv6 قد يُبقي الخدمات مكشوفة عبر IPv6 رغم حجبها في IPv4، دون تحذيرات واضحة. ينصح بالاختبار على البروتوكولين وتعطيل IPv6 إذا لم يُستخدم.

برمجيات خبيثة وبنية C2

  • Prince of Persia: عودة المجموعة بهجمات معقدة وبرمجيات Tonnerre v50 وFoudre v34، مع استخدام تيليجرام كقناة C2، ونشر عبر ملفات إكسل وDGA لإخفاء البنية. مؤشرات: @ehsan8999100 .privatedns.org .site .ix.tc.
  • Cloud Atlas: استغلال متواصل لثغرة Equation Editor في Office لنشر سلاسل عدوى تشمل VBShower وPowerShower وVBCloud وCloudAtlas لسرقة وثائق وبيانات دخول وتنفيذ أوامر. المؤشر: CVE-2018-0802.

تصيّد وهندسة اجتماعية

  • Microsoft 365/OAuth رموز الأجهزة: حملات تصيّد ذكية عبر بريد/رموز QR تقود المستخدمين لإدخال رمز جهاز في بوابة رسمية، فتمنح صلاحيات لتطبيقات ضارة دون سرقة كلمة المرور. أدوات مستخدمة: SquarePhish وGraphish.
  • Scripted Sparrow/BEC: احتيال مالي آلي يستهدف فرق الحسابات بفواتير PDF ونماذج W-9 مزيفة وسلاسل ردود وهمية، مع بنية تعتمد نطاقات جديدة وصناديق مخترقة وVPN.
  • توظيف عن بُعد: اكتشاف موظف زائف من كوريا الشمالية في شركة كبرى يدير جهازًا عن بُعد، مع رصد أكثر من 1800 محاولة مشابهة منذ 2024.
  • تقنية DCOM جديدة: استغلال كائن COpenControlPanel لتحميل DLL ضار عبر السجل وتشغيله بواسطة dllhost.exe لتنفيذ عن بُعد أو الثبات. المفاتيح: HKCU\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls وHKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls. مؤشرات: {06622D85-6856-4460-8DE1-A81921B41C4B} dllhost.exe.

سحابة وفدية وDDoS وحوادث

  • AWS/تعدين عملات: استغلال بيانات اعتماد لإنشاء موارد EC2/ECS وتشغيل تعدين، مع إساءة صلاحيات IAM لبقاء مستمر. مؤشرات: ec2:CreateLaunchTemplate ecs:RegisterTaskDefinition lambda:CreateFunctionUrlConfig iam:CreateUser iam:CreateAccessKey.
  • تحالف فدية: إعلان تحالف بين كيلين ودراغون فورس ولوك بيت وسط ضغط أمني، في مسعى للحفاظ على السمعة وجذب شركاء.
  • DDoS مدعوم بالذكاء الاصطناعي: أدوات مثل GhostGPT وWormGPT وXanthorox وKawaiiGPT تُسرّع تطوير الهجمات وتجنيد البوت نت؛ ذُكر استغلال CVE-2024-10914 ضمن أداة KuroCracks.
  • Nomad/بلوكشين: اختراق جسر Nomad في 2022 بسبب ثغرة في العقود أدى لخسائر كبيرة، وسط إجراءات تنظيمية لاحقة.

توصيات

  • التحديث العاجل: HPE OneView، WatchGuard Firebox، أجهزة Fortinet، Gladinet Triofox، Kibana، Log4j Core، نواة لينكس، متصفحات Safari/Chrome، وبرمجيات UEFI وأداة ASUS Live Update.
  • حماية واجهات الإدارة: تعطيل الوصول من الإنترنت حيث أمكن، وتقسيم الشبكة، ومراجعة كلمات المرور وملفات الإعدادات المسربة في أجهزة Fortinet.
  • IPv6: توحيد سياسات الجدار الناري على IPv4 وIPv6 واختبار الخدمات على البروتوكولين، وتعطيل IPv6 إذا لم يُستخدم.
  • Microsoft 365: تجنب إدخال رموز الأجهزة من رسائل غير متوقعة، ومراجعة صلاحيات التطبيقات المرتبطة وتفعيل سياسات الوصول المشروط.
  • التوعية المالية: تحذير فرق الحسابات من رسائل الفواتير الوهمية وسلاسل الردود المزيفة، والتحقق عبر قنوات رسمية.
  • مراقبة المؤشرات: رصد اتصالات تيليجرام/النطاقات المذكورة، وتتبع عمليات dllhost.exe ومفاتيح السجل الخاصة بـ DCOM.
  • AWS: تطبيق مبدأ أقل صلاحية، مراقبة أوامر API الحساسة والمؤشرات المذكورة، وتعطيل المفاتيح غير المستخدمة.
  • Office: تثبيت التصحيحات وتعطيل وحدات الماكرو ومراقبة تنفيذ سكريبتات VBS.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون