«مفاتيح المملكة»: كيف أطلقت ثغرات Bomgar RMM عاصفة سيبرانية في سلسلة التوريد

عندما يستطيع خادم واحد فتح الوصول إلى مئات الشركات، تتضاعف رهانات الأمن السيبراني بشكل أُسّي. خلال الأسبوعين الماضيين، استغل مهاجمون ثغرة كُشف عنها حديثًا في منصة Bomgar للدعم عن بُعد - التي أصبحت الآن جزءًا من BeyondTrust - مُظهرين مدى سرعة انتشار أثر الثغرة عبر سلسلة التوريد الرقمية، تاركًا الدمار في أعقابه.

حقائق سريعة

• استغلال ثغرة حرجة في Bomgar RMM (CVE-2026-1731) في عدة هجمات حديثة.
• حصل المهاجمون على تنفيذ تعليمات برمجية عن بُعد دون مصادقة، ما منحهم سيطرة كاملة على الأنظمة المستهدفة.
• أدت الحوادث إلى نشر برمجيات فدية (لا سيما LockBit)، ورفع الامتيازات، والحركة الجانبية.
• أثر سلسلة التوريد: اختراقات لدى مزودي الخدمات انتشرت بسرعة إلى عشرات العملاء في المصب.
• خبراء يحثون على التحديث الفوري، والمراقبة اليقظة لحسابات المسؤول المارقة وعمليات نشر RMM.

تأثير الدومينو: من اختراق واحد إلى تسوية جماعية

أطلق باحثون في Huntress Security ناقوس الخطر بعد ملاحظتهم «ارتفاعًا حادًا» في استغلال مثيلات Bomgar Remote Support. يستغل فاعلو التهديد CVE-2026-1731 - وهي ثغرة حرجة لتنفيذ تعليمات برمجية عن بُعد - للحصول على وصول دون مصادقة إلى الخوادم الضعيفة. وبمجرد الدخول، يمكن للمهاجمين التحرك جانبيًا، ورفع الامتيازات، ونشر أدوات إدارة عن بُعد إضافية، مثل AnyDesk وAtera، للحفاظ على وصول دائم.

انتشر هجوم في أبريل استهدف شركة برمجيات لطب الأسنان بسرعة إلى ثلاثة من عملائها. وفي حادثة أخرى، جرى اختراق مزود خدمات مُدارة (MSP)، ما أدى إلى عزل 78 شركة واستغلال ناجح لأربع مؤسسات أخرى في المصب. يقول محلل Huntress جوش أولمان: «استهداف الخادم الذي يشغّل جهاز RMM يشبه الحصول على مفتاح المدينة». إن اختراق نظام واحد في المنبع يمكن أن يتسلسل عبر قاعدة العملاء بأكملها - وهو احتمال مُخيف لأي مؤسسة تعتمد على خدمات تقنية معلومات من طرف ثالث.

استغل مشغلو برمجيات الفدية، بمن فيهم من يستخدمون سلالة LockBit سيئة السمعة، هذه الفرصة. ففي عدة حالات، استخدم المهاجمون أدوات LockBit 3.0 المُسرّبة لتشفير شبكات الضحايا. ومع ذلك، لم تنشر جميع الهجمات برمجيات فدية فورًا؛ إذ ركز بعضها على الاستطلاع وإنشاء حسابات مسؤول جديدة، تمهيدًا لحملات مستقبلية.

تؤكد هذه الموجة الجديدة اتجاهًا أوسع: المهاجمون يستغلون بشكل متزايد أدوات تقنية معلومات شرعية - مثل RMM - بدلًا من البرمجيات الخبيثة التقليدية، ما يجعل الاكتشاف أصعب ويعظّم نطاق الوصول. ومن خلال «الاعتماد على موارد النظام»، يندمج فاعلو التهديد في نشاط الشبكة الطبيعي، متجنبين العديد من أدوات الأمن التي تبحث عن تهديدات أكثر تقليدية.

ضرورات دفاعية

مع معرفة مسار الهجوم واستغلاله بنشاط، يحث الخبراء المؤسسات على تحديث أنظمة Bomgar دون تأخير. تُعد مراقبة حسابات المسؤول المشبوهة، وعمليات نشر RMM غير المتوقعة، ونشاط Bomgar الشاذ أمرًا بالغ الأهمية. ومع ازدياد تطور المهاجمين، يجب على المدافعين التكيف، لضمان ألا تتحول الأدوات المصممة لتمكين الدعم الآمن إلى مفاتيح المملكة بيد مجرمي الإنترنت.

نظرة إلى الأمام

حادثة Bomgar تذكير صارخ: في مشهد تقنية المعلومات المترابط اليوم، يمكن لحلقة ضعيفة واحدة أن تهدد السلسلة بأكملها. ومع صقل المهاجمين لتكتيكاتهم، فإن اليقظة، والتحديث السريع، والمراقبة الاستباقية ليست مجرد أفضل الممارسات - بل هي ضرورات للبقاء.

WIKICROOK

• المراقبة والإدارة عن بُعد (RMM): المراقبة والإدارة عن بُعد (RMM) هي أدوات تقنية معلومات تتيح للمحترفين التحكم عن بُعد في الحواسيب ومراقبتها وصيانتها - مفيدة للدعم، لكنها محفوفة بالمخاطر إذا أسيء استخدامها.
• تنفيذ تعليمات برمجية عن بُعد (RCE): تنفيذ التعليمات البرمجية عن بُعد (RCE) هو عندما يشغّل المهاجم شفرته الخاصة على نظام الضحية، وغالبًا ما يؤدي ذلك إلى سيطرة كاملة على ذلك النظام أو تسويته.
• رفع الامتيازات: يحدث رفع الامتيازات عندما يحصل المهاجم على وصول بمستوى أعلى، منتقلًا من حساب مستخدم عادي إلى امتيازات المسؤول على نظام أو شبكة.
• الحركة الجانبية: الحركة الجانبية هي عندما ينتقل المهاجمون، بعد اختراق شبكة، بشكل أفقي للوصول إلى مزيد من الأنظمة أو البيانات الحساسة، موسّعين سيطرتهم ونطاق وصولهم.
• مؤشرات الاختراق (IOCs): مؤشرات الاختراق (IoCs) هي دلائل مثل أسماء الملفات أو عناوين IP أو شذرات الشيفرة تساعد على اكتشاف ما إذا كان نظام حاسوبي قد تعرض للاختراق.