ملخص تهديدات الأمن السيبراني23-01-2026

يوم حافل بثغرات يوم صفر واستغلالات نشطة طالت معدات الشبكات والخوادم، إلى جانب حملات تصيّد مركّزة على قطاع الطاقة. كما برزت تحديثات أمنية واسعة ونشاط لبرمجيات خبيثة وفدية وتسريب بيانات على نطاق كبير.

ثغرات واستغلالات حرجة

• FortiGate: استغلال ثغرتين حرجتين لتجاوز SSO عبر SAML وإنشاء حسابات مشرفين خفية وسرقة ملفات الإعدادات الحساسة. الثغرات: CVE-2025-59718 CVE-2025-59719. مؤشرات: [email protected] 104.28.244.114. توصيات: مراجعة الحسابات والتغييرات، تغيير كلمات المرور، مراقبة الدخول عبر SSO، وتحديث النظام. لإيقاف FortiCloud SSO:

  config system global
  set admin-forticloud-sso-login disable
  end

• سيسكو الاتصالات الموحدة: ثغرة يوم صفر تُستغل حاليًا وتسمح بتنفيذ أوامر عن بعد دون مصادقة وقد تؤدي لسيطرة جذر. المتأثر: Cisco Unified Communications Manager وIM & Presence وWebex Calling. السبب: تحقق غير كافٍ لمدخلات HTTP. الثغرة: CVE-2026-20045. توصيات: تحديث عاجل وعدم تعريض واجهات الإدارة للإنترنت.
• SmarterMail: تجاوز مصادقة في واجهة force-reset-password يتيح الاستحواذ على حسابات المدير وتنفيذ أوامر على الخادم. توصية: التحديث إلى Build 9511 فورًا.
• BIND 9: ثغرة حرجة تؤدي لتعطيل الخدمة عبر سجلات DNS مُعطّلة (BRID/HHIT). لا تتطلب مصادقة ويمكن تنفيذها عبر UDP/TCP على المنفذ 53. الإصدارات المتأثرة محددة ضمن 9.18.x و9.20.x و9.21.x. الثغرة: CVE-2025-13878. مؤشرات: dns.qry.type == 65534 dns.qry.type == 65535. توصيات: التحديث والرقابة على السجلات وتفعيل DNSSEC وRRL.
• Vivotek: تنفيذ أوامر دون مصادقة عبر upload_map.cgi باستغلال أسماء ملفات تحقن أوامر شل. الثغرة: CVE-2026-22755. مؤشرات: /cgi-bin/admin/upload_map.cgi ومتغير POST_FILE_NAME يحوي فاصلة منقوطة ; وترويسة \xFF\x56\xFF\xFF ونهاية \xFF\x4B\xFF\xFF. توصيات: تحديث، تعطيل السكربتات غير الضرورية، عزل الكاميرات.
• GNU InetUtils telnetd: ثغرة سهلة الاستغلال تمنح صلاحيات الجذر عبر تمرير USER مخصص وتجاوز الهوية. الثغرة: CVE-2026-24061. توصيات: تحديث فوري، إيقاف telnetd وإغلاق المنفذ 23، استخدام SSH.
• لينكس page cache: تقنيات أسرع للتجسس على إدخال كلمات المرور وكسر عزل الحاويات؛ تم إصلاح ثغرة واحدة فقط. الثغرة: CVE-2025-21691. توصيات: التحديث عند توفر التصحيحات، مراقبة السجلات وتقييد تشغيل البرمجيات غير الموثوقة.
• أنظمة السيارات والشواحن: اكتشاف ٣٧ ثغرة يوم الصفر في Pwn2Own Automotive 2026 طالت أنظمة ترفيه وشواحن (Tesla وSony وAlpine وKenwood وChargePoint وغيرها). تشمل تجاوز مصادقة وحقن أوامر وتصعيد صلاحيات وهجمات USB. توصيات: تثبيت تحديثات الشركات المصنعة وتجنب توصيل أجهزة غير موثوقة.

تحديثات أمنية متعددة المنتجات

• Atlassian: تحديثات لـ Bamboo وBitbucket وConfluence وCrowd وJira تشمل ٣٢ ثغرة، منها حرجة مثل CVE-2025-12383 وCVE-2025-66516 وثغرة XXE في Crowd (CVE-2026-21569). توصية: تحديث فوري.
• GitLab: تحديثات CE/EE تعالج ٥ ثغرات عالية مثل CVE-2025-13927 CVE-2025-13928 CVE-2026-0723. توصية: التحديث لمنع تعطيل الخدمة وتجاوز التحقق الثنائي.
• Zoom: إصلاح ثغرة حرجة لتنفيذ أوامر عن بعد على خوادم الاجتماعات: CVE-2026-22844. توصية: تحديث عاجل.
• NVIDIA CUDA Toolkit: ثغرات حرجة قبل الإصدار 13.1 تُمكّن تنفيذ أوامر ورفع صلاحيات عبر مدخلات ضارة أو تحميل مكتبات. الثغرات: CVE-2025-33228 CVE-2025-33229 CVE-2025-33230 CVE-2025-33231. توصيات: التحديث إلى 13.1، التحقق عبر nvcc --version، وتفعيل وضع البحث الآمن عن DLL في ويندوز وتجنب مسارات تثبيت غير موثوقة في لينكس.
• Foxit PDF Editor وEpic Games Store وMedDream PACS: عدة ثغرات بينها تصعيد صلاحيات وuse-after-free وXSS. الثغرات: CVE-2025-57779 CVE-2025-58085 CVE-2025-59488 CVE-2025-61973 CVE-2025-54817 CVE-2025-53516 CVE-2025-54495 CVE-2025-54157 CVE-2025-54778 CVE-2025-46270 CVE-2025-55071 CVE-2025-54852 CVE-2025-54814 CVE-2025-54861 CVE-2025-57881 CVE-2025-58080 CVE-2025-53854 CVE-2025-57787 CVE-2025-53707 CVE-2025-54853 CVE-2025-57786 CVE-2025-44000 CVE-2025-58087 CVE-2025-58095 CVE-2025-36556 CVE-2025-53912. توصية: تحديث من المصادر الرسمية وتجنب ملفات وروابط مشبوهة.

هجمات التصيّد والهندسة الاجتماعية

• قطاع الطاقة (AiTM): سيطرة على حسابات Microsoft وإرسال أكثر من 600 رسالة تصيّد عبر روابط SharePoint مزيفة، إنشاء قواعد لحذف الرسائل، وسرقة بيانات الاعتماد ورموز الجلسات لتجاوز كلمات المرور، وقد يضيف المهاجم وسائل مصادقة متعددة خاصة به. مؤشرات: 178.130.46.8 193.36.221.10. توصيات: إعادة تعيين كلمات المرور، إلغاء الجلسات، حذف القواعد، وتفعيل MFA وسياسات وصول مشروط.
• تصيّد صوتي متقدم: أدوات تُباع في الإنترنت المظلم تستهدف حسابات Google وMicrosoft وOkta عبر مكالمات دعم مزيفة وصفحات دخول وهمية تلتقط رموز التحقق. توصيات: عدم الوثوق باتصالات تدّعي الدعم والتحقق من هوية المتصل والدخول فقط عبر المواقع الرسمية.
• LinkedIn: تواصل مُوجّه مع ذوي مناصب حساسة ثم إرسال ملف مضغوط ذاتي الاستخراج يحوي DLL خبيث وتقنية DLL side-loading لتشغيل RAT، بأسماء مثل «Project_Execution_Plan.exe». توصيات: عدم فتح ملفات من مصادر غير موثوقة، تفعيل الحماية، ومراقبة الاتصالات الغريبة.
• Gmail وواتساب في الشرق الأوسط: تصيّد لسرقة بيانات الدخول ومحاولات للوصول لبيانات حساسة كالموقع والصور والتسجيلات. توصيات: تفعيل التحقق بخطوتين والحذر من الروابط.
• LastPass: رسائل مزيفة بعنوان صيانة تحث على نسخ احتياطي خلال 24 ساعة وتوجه لموقع تصيّد «mail-lastpass[.]com». توصيات: تجاهل الرسائل المشبوهة، الدخول يدويًا للموقع الرسمي، تفعيل MFA، والإبلاغ.
• Okta SSO: تصيّد صوتي يلتقط اسم المستخدم وكلمة المرور ورموز TOTP عبر صفحات تفاعلية، مع إرسال البيانات لقنوات تيليجرام. أمثلة نطاقات: inclusivity-team[.]onrender.com googleinternal[.]com mygoogle[.]com. توصيات: استخدام مصادقة مقاومة للتصيّد مثل FIDO2 أو Okta FastPass وتدريب الموظفين.

برمجيات خبيثة وفدية

• VoidLink: برمجية تستهدف خوادم لينكس في السحابة (Kubernetes وDocker) بتقنيات إخفاء متطورة، «تجميع روتكيت على الخادم» حسب النواة، مكتوبة بـ Zig، تنفيذ بدون ملفات، وقنوات ICMP للتواصل، مع تفادي أدوات مثل CrowdStrike وSentinelOne. توصيات: مراقبة تحميل وحدات النواة، تتبع النشاطات في الذاكرة، وتفعيل مراقبة ICMP.
• Osiris ransomware: استهداف مؤسسي مع استخدام LOLBins وأدوات مثل Netscan وMimikatz وRclone، وتعطيل الحماية عبر BYOVD ببرنامج «Poortry» موقّع، تشفير الملفات وإيقاف خدمات حيوية وحذف النسخ الاحتياطية، وتسريب البيانات إلى Wasabi وترك مذكرة فدية. مؤشرات: kaz.exe Poortry MeshAgent Rclone Wasabi cloud. توصيات: تحديث الحماية، مراقبة الشبكة، تعطيل التعريفات غير الموثوقة، ومراجعة الصلاحيات.
• تطبيقات تدريبية مكشوفة في السحابة: نشر OWASP Juice Shop وDVWA بإعدادات افتراضية مكّن مهاجمين من تنفيذ أوامر، سرقة هويات وصلاحيات سحابية، زرع XMRig وweb shells، والعثور على شيفرات وبيانات حقيقية. توصيات: جرد الأصول، تغيير كلمات المرور الافتراضية، أقل الصلاحيات، مراقبة البيئات التدريبية، وإزالة الأنظمة غير المستخدمة.
• متجر Snap: استيلاء على حسابات ناشرين عبر نطاقات بريد منتهية ثم نشر تحديثات خبيثة تنتحل محافظ شهيرة وتسرق عبارات الاسترجاع وترسل البيانات عبر تيليجرام. مؤشرات: pandadrainerbot @ikaikaika101. توصيات: تجنب تثبيت محافظ من المتجر، الاعتماد على المواقع الرسمية، تجديد النطاقات وتفعيل 2FA، ومراجعة التحديثات المثبتة.

تسريبات واختراقات بيانات

• Under Armour: مجموعة Everest سرّبت بيانات ملايين العملاء (أكثر من 191 مليون سجل بينها 72 مليون بريد فريد) تشمل الأسماء والبريد والهاتف والموقع والجنس وسجل المشتريات والتفضيلات، إثر هجوم فدية في نوفمبر 2025. توصيات: تغيير كلمات المرور، تفعيل 2FA، الحذر من انتحال الشركة، وعدم حفظ بيانات البطاقات، ومراقبة الأنشطة.