الصفحات
بحث
تحذير: ثغرة Dell خطيرة يستغلها قراصنة صينيون
الأمن السيبراني #أمن_سيبراني #Dell

تحذير: ثغرة Dell خطيرة يستغلها قراصنة صينيون

تاريخ النشر: 3 مشاهدة 0 تعليق 3 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
3 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشفت شركتا Mandiant ومجموعة Google Threat Intelligence (GTIG) عن استغلال مجموعة قرصنة يُشتبه في ارتباطها بالصين لثغرة أمنية خطيرة غير مصححة (Zero-day) في أنظمة Dell، وذلك في هجمات بدأت منذ منتصف عام 2024.

أوضح الباحثون أن المجموعة، التي تحمل الاسم الرمزي UNC6201، استغلت ثغرة ذات خطورة قصوى في بيانات الاعتماد المدمجة بالشيفرة المصدرية (Hardcoded Credentials)، والتي تم تتبعها تحت المعرف CVE-2026-22769، وتؤثر على منتج Dell RecoverPoint for Virtual Machines، وهو حل يستخدم للنسخ الاحتياطي واستعادة الأجهزة الافتراضية من VMware.

تفاصيل الثغرة وتحذير Dell الرسمي

نشرت شركة Dell استشارة أمنية يوم الثلاثاء، حذرت فيها من خطورة الثغرة. وجاء في بيانها:

"تحتوي إصدارات Dell RecoverPoint for Virtual Machines السابقة لـ 6.0.3.1 HF1 على ثغرة بيانات اعتماد مدمجة في الشيفرة المصدرية. يعتبر هذا الأمر حرجًا حيث يمكن لمهاجم عن بعد غير مصادق عليه لديه معرفة ببيانات الاعتماد المدمجة أن يستغل هذه الثغرة، مما قد يؤدي إلى وصول غير مصرح به إلى نظام التشغيل الأساسي والحصول على صلاحيات الجذر. توصي Dell العملاء بالترقية أو تطبيق أحد الحلول المتاحة في أسرع وقت ممكن."

برمجية Grimbolt الخبيثة: تطور في الهجمات

بمجرد اختراق شبكة الضحية، قامت مجموعة UNC6201 بنشر عدة برمجيات خبيثة، من بينها برمجية باب خلفي (Backdoor) جديدة تم تحديدها باسم Grimbolt. هذه البرمجية، المكتوبة بلغة C#، مصممة لتكون أسرع وأصعب في التحليل من سابقتها المعروفة باسم Brickstorm.

لاحظ الباحثون أن المجموعة استبدلت Brickstorm بـ Grimbolt في سبتمبر 2025، لكن يبقى من غير الواضح ما إذا كان هذا التبديل ترقية مخططًا لها أم رد فعل على جهود الاستجابة للحوادث التي قادتها Mandiant وشركاء آخرون في الصناعة.

تقنيات هجوم مبتكرة: استهداف خوادم VMware

استخدم المهاجمون أيضًا تقنيات مبتكرة للتغلغل بشكل أعمق في البنية التحتية الافتراضية للضحايا، بما في ذلك إنشاء واجهات شبكة مخفية (تُعرف بـ "Ghost NICs") على خوادم VMware ESXi للتنقل بسرية عبر شبكات الضحايا.

وفي تصريح لموقع BleepingComputer، قال مارك كارايان، مدير الاتصالات في Mandiant:

"تستخدم مجموعة UNC6201 منافذ شبكة افتراضية مؤقتة (تُعرف بـ 'Ghost NICs') للانتقال من الأجهزة الافتراضية المخترقة إلى البيئات الداخلية أو السحابية (SaaS)، وهي تقنية جديدة لم تلاحظها Mandiant من قبل في تحقيقاتها. وتماشيًا مع حملة BRICKSTORM السابقة، تواصل UNC6201 استهداف الأجهزة التي تفتقر عادةً إلى وكلاء الكشف والاستجابة التقليدية (EDR) للبقاء غير مكتشفة لفترات طويلة."

الروابط مع مجموعات قرصنة أخرى

وجد الباحثون تداخلات بين مجموعة UNC6201 ومجموعة تهديد صينية أخرى تُعرف باسم UNC5221، والمعروفة باستغلال ثغرات Ivanti لاستهداف وكالات حكومية ببرمجيات خبيثة مخصصة مثل Spawnant و Zipline. كما تم ربط هذه المجموعة سابقًا بمجموعة التهديد الصينية سيئة السمعة Silk Typhoon (المعروفة أيضًا باسم Warp Panda لدى شركة CrowdStrike).

ولصد الهجمات المستمرة التي تستغل ثغرة CVE-2026-22769، يُنصح عملاء Dell باتباع إرشادات المعالجة المنشورة في الاستشارة الأمنية الخاصة بالشركة.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##Dell ##اختراق

الأسئلة الشائعة

يستغل القراصنة ثغرة حرجة (CVE-2026-22769) في منتج Dell RecoverPoint for Virtual Machines، وهي ثغرة بيانات اعتماد مدمجة في الشيفرة المصدرية (hardcoded credential).

اكتشف الباحثون برمجية خبيثة جديدة تسمى Grimbolt، وهي باب خلفي متطور مصمم ليكون أسرع وأصعب في التحليل من سابقه Brickstorm.

هي تقنية مبتكرة تتضمن إنشاء واجهات شبكة افتراضية مؤقتة ومخفية على خوادم VMware ESXi، مما يسمح للمهاجمين بالتنقل بسرية داخل شبكة الضحية.

أوصت Dell عملاءها بترقية أنظمتهم أو تطبيق أحد الحلول المتاحة في أسرع وقت ممكن لسد الثغرة ومنع الهجمات.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!