الأمن السيبراني
#SolarWinds
#ServU
تحذير: 4 ثغرات حرجة في SolarWinds Serv-U تمنح وصول Root
أصدرت SolarWinds تحديثات أمنية بالغة الأهمية لمعالجة أربع ثغرات حرجة في برنامجها لنقل الملفات Serv-U. هذه الثغرات، التي تتيح تنفيذ التعليمات البرمجية عن بُعد (RCE)، قد تمنح المهاجمين وصول Root الكامل إلى الخوادم غير المحدثة، ما يشكل تهديداً خطيراً للبيانات والأنظمة.
تفاصيل الثغرات الحرجة وإصلاحها
يُعد Serv-U حلاً محلياً من SolarWinds لنقل الملفات، ويدعم بروتوكولات مثل FTP، FTPS، SFTP، و HTTP/S، مما يجعله أداة حيوية للعديد من المؤسسات. أهم الثغرات التي تم إصلاحها في الإصدار 15.5.4 من Serv-U هي CVE-2025-40538، والتي تسمح للمهاجمين ذوي الامتيازات العالية باكتساب صلاحيات Root أو المسؤول على الخوادم المستهدفة.
وصرحت SolarWinds في إشعارها يوم الثلاثاء أن "ثغرة التحكم في الوصول المعطّل في Serv-U، عند استغلالها، تمنح المهاجم القدرة على إنشاء مستخدم مسؤول نظام وتنفيذ تعليمات برمجية عشوائية بصلاحيات Root عبر امتيازات مسؤول النطاق أو المجموعة."
إضافة إلى ذلك، قامت الشركة بإصلاح ثغرتين من نوع "Type Confusion" وثغرة "Insecure Direct Object Reference (IDOR)"، والتي يمكن استغلالها لتنفيذ تعليمات برمجية بصلاحيات Root. لحسن الحظ، تتطلب جميع هذه الثغرات الأربع أن يكون لدى المهاجمين بالفعل امتيازات عالية على الخوادم المستهدفة، مما يحد من محاولات الاستغلال المحتملة. هذا يعني أن الاستغلال سيقتصر على السيناريوهات التي يتمكن فيها المهاجمون من ربط ثغرات تصعيد الامتيازات أو استخدام بيانات اعتماد إدارية مسروقة مسبقاً.
تاريخ الاستهداف: لماذا Serv-U هدف مغرٍ؟
تُظهر البيانات أن برامج نقل الملفات مثل SolarWinds Serv-U غالباً ما تكون هدفاً لهجمات المخترقين. تُوفر هذه البرامج وصولاً سهلاً إلى المستندات التي قد تحتوي على بيانات حساسة للشركات والعملاء. وفقاً لـ Shodan، يوجد حالياً أكثر من 12,000 خادم Serv-U مكشوف للإنترنت، بينما تقدر Shadowserver العدد بأقل من 1,200 خادم، كما تظهر الصورة المرفقة.
على مدى السنوات الخمس الماضية، استهدفت العديد من مجموعات الجرائم السيبرانية والمجموعات المدعومة من الدول ثغرات Serv-U في هجمات سرقة البيانات. على سبيل المثال، استغلت عصابة Clop ثغرة تنفيذ التعليمات البرمجية عن بُعد في Serv-U Secure FTP (CVE-2021-35211) لاختراق شبكات الشركات في هجمات برامج الفدية.
كما نشر قراصنة صينيون (تتبعهم Microsoft تحت اسم DEV-0322)، والمعروفون باستهدافهم لشركات الدفاع والبرمجيات الأمريكية، استغلالات لـ CVE-2021-35211 في هجمات يوم الصفر بدءاً من يوليو 2021. وفي الآونة الأخيرة، في يونيو 2024، أشارت شركتا الأمن السيبراني Rapid7 و GreyNoise إلى ثغرة "path-traversal" في SolarWinds Serv-U (CVE-2024-28995) باعتبارها تُستغل بنشاط من قبل الجهات التهديدية التي تستخدم استغلالات إثبات المفهوم (PoC) المتاحة علناً.
دعوة عاجلة للتحديث وحماية بياناتك
تُعد هذه التحديثات الأمنية ضرورية لحماية البنية التحتية للمؤسسات. تتابع وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) حالياً تسع ثغرات أمنية في SolarWinds تم استغلالها أو ما زالت تُستغل بنشاط. هذا يؤكد على أهمية عدم التأخير في تطبيق التحديثات الأمنية.
لذا، يُنصح جميع مستخدمي SolarWinds Serv-U بتحديث برامجهم إلى الإصدار 15.5.4 على الفور لضمان حماية خوادمهم وبياناتهم من التهديدات المحتملة. عدم التحديث يعرض الأنظمة لخطر سرقة البيانات وهجمات برامج الفدية.
الأسئلة الشائعة
أصدرت SolarWinds تحديثات لأربع ثغرات حرجة تسمح بتنفيذ التعليمات البرمجية عن بُعد (RCE)، أبرزها CVE-2025-40538 التي تمنح وصول Root للمهاجمين.
تُعد ثغرة CVE-2025-40538 خطيرة لأنها تمنح المهاجمين ذوي الامتيازات العالية القدرة على اكتساب صلاحيات Root أو المسؤول الكامل على الخوادم المستهدفة.
يُعد Serv-U هدفاً مغرياً لأنه برنامج لنقل الملفات يوفر وصولاً سهلاً إلى مستندات قد تحتوي على بيانات حساسة، وقد استُهدف من قبل مجموعات جرائم سيبرانية ومدعومة من الدول.
يجب على جميع مستخدمي SolarWinds Serv-U تحديث برامجهم إلى الإصدار 15.5.4 على الفور لتطبيق الإصلاحات الأمنية وحماية خوادمهم من التهديدات المحتملة.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!