الصفحات
بحث
تحذير أمني: ثغرات SolarWinds WHD تُستغل لاختراق الشركات
الأمن السيبراني #أمن_سيبراني #SolarWinds

تحذير أمني: ثغرات SolarWinds WHD تُستغل لاختراق الشركات

منذ ساعتين 4 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
4 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

رصد باحثون أمنيون حملة هجومية نشطة يستغل فيها القراصنة ثغرات أمنية في نظام SolarWinds Web Help Desk (WHD) لنشر أدوات إدارة شرعية واستخدامها لأغراض خبيثة، مثل أداة المراقبة عن بعد Zoho ManageEngine.

تفاصيل الهجوم والثغرات المستغلة

وفقاً لتقرير صادر عن شركة Huntress Security، بدأت هذه الحملة في منتصف يناير 2026، حيث استهدف المهاجمون ثلاث مؤسسات على الأقل. يعتمد الهجوم على استغلال الثغرة الأمنية CVE-2025-40551، التي حذرت منها وكالة CISA سابقاً، بالإضافة إلى الثغرة CVE-2025-26399.

تُصنف كلتا الثغرتين بدرجة خطورة حرجة، حيث تسمحان للمهاجمين بتنفيذ تعليمات برمجية عن بعد (RCE) على الجهاز المضيف دون الحاجة إلى مصادقة.

وفي سياق متصل، أكد باحثو مايكروسوفت رصدهم لتسلل متعدد المراحل استغل نسخ SolarWinds WHD المكشوفة على الإنترنت، واصفين البيئات المخترقة بأنها "أصول عالية القيمة".

سلسلة الهجوم والأدوات المستخدمة

بعد الحصول على الوصول الأولي، يقوم المهاجمون بتثبيت وكيل Zoho ManageEngine Assist عبر ملف MSI يتم جلبه من منصة Catbox. يتم تكوين الأداة للوصول غير المراقب وربط المضيف المخترق بحساب Zoho Assist مرتبط بعنوان بريد إلكتروني مجهول من Proton Mail.

استغلال Velociraptor و Cloudflare

استخدم المهاجمون أداة Velociraptor، وهي أداة شرعية للتحليل الجنائي والاستجابة للحوادث (DFIR)، كإطار للقيادة والسيطرة (C2). وتجدر الإشارة إلى أن النسخة المستخدمة (0.73.4) قديمة وتحتوي على ثغرة تسمح بتصعيد الامتيازات.

كما تظهر التحقيقات استخدام أنفاق Cloudflare Workers للتواصل مع المهاجمين، بالإضافة إلى تثبيت Cloudflared من مستودع GitHub الرسمي كقناة وصول احتياطية.

ولضمان استمرار الهجوم، قام القراصنة بتعطيل Windows Defender وجدار الحماية عبر تعديلات في السجل (Registry)، ثم قاموا بتحميل نسخة جديدة من برنامج VS Code لاستخدامه في إنشاء أنفاق اتصال إضافية.

كيفية الحماية والتخفيف من المخاطر

يوصي الخبراء مسؤولي الأنظمة بترقية SolarWinds Web Help Desk فوراً إلى الإصدار 2026.1 أو ما بعده. كما يجب إزالة الوصول العام للإنترنت عن واجهات إدارة WHD، وإعادة تعيين جميع بيانات الاعتماد المرتبطة بالمنتج لضمان أمان الشبكة.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##SolarWinds ##اختراق ##تكنولوجيا

الأسئلة الشائعة

يستغل المهاجمون الثغرتين CVE-2025-40551 و CVE-2025-26399، وهما ثغرات حرجة تسمح بتنفيذ تعليمات برمجية عن بعد دون مصادقة.

يستخدم القراصنة أدوات مثل Zoho ManageEngine للتحكم عن بعد، و Velociraptor للقيادة والسيطرة، وأنفاق Cloudflare للحفاظ على الاتصال.

يجب الترقية فوراً إلى الإصدار 2026.1 من SolarWinds WHD، وإزالة الوصول العام للإنترنت عن واجهات الإدارة، وإعادة تعيين كلمات المرور.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!