نقطة ضعف أوراكل: هجوم فدية Clop يستغل ثغرة يوم الصفر في E-Business Suite
هاكرز مرتبطون بروسيا يستغلون ثغرة حرجة في أوراكل، ما يعرض الشركات العالمية للابتزاز ويعيد إشعال المخاوف بشأن أمان البرمجيات الحيوية للأعمال.
حقائق سريعة
- عصابة الفدية Clop تدعي اختراق أوراكل عبر ثغرة يوم الصفر في E-Business Suite (CVE-2025-61882).
- الثغرة تتيح للمهاجمين السيطرة على الخوادم دون الحاجة إلى كلمة مرور.
- أوراكل، مازدا، هومانا، وصحيفة واشنطن بوست مدرجون كضحايا على موقع تسريبات Clop.
- المهاجمون أعادوا استخدام البنية التحتية من اختراق MOVEit الشهير.
- تمكنت Clop من ابتزاز أكثر من 500 مليون دولار من أكثر من 1000 منظمة منذ عام 2019.
حصان طروادة الرقمي: كيف اخترقت Clop أوراكل
تخيل قلعة بابها الرئيسي مغلق بإحكام، لكن هناك باب سري في الجدار مفتوح على مصراعيه. هذا بالضبط ما حدث لأوراكل وعشرات من عملائها عندما اكتشفت عصابة الفدية Clop ثغرة خفية في E-Business Suite من أوراكل - وهو برنامج أساسي تعتمد عليه كبرى الشركات العالمية.
الثغرة، التي تحمل الرقم CVE-2025-61882، تُعد من نوع "يوم الصفر": أي خلل غير معروف للبائع ولم يتم إصلاحه عند استغلاله لأول مرة. في هذه الحالة، سمحت الثغرة للمهاجمين بتجاوز جميع إجراءات المصادقة - ما يعادل رقمياً تجاوز الحراسة الأمنية - عن طريق استغلال نقطة نهاية خاطئة التكوين تُعرف باسم SyncServlet وحقن تعليمات خبيثة. ويصنف خبراء الأمن هذه الثغرة بدرجة خطورة 9.8 من 10، ما يجعلها من أخطر الثغرات في الآونة الأخيرة.
من MOVEit إلى أوراكل: سيناريو مألوف
عصابة Clop ليست غريبة عن الاختراقات التي تتصدر العناوين. ففي عام 2023، نظمت المجموعة موجة عالمية من هجمات الابتزاز باستخدام ثغرة في برنامج نقل الملفات MOVEit، ما أثر على جامعات وبنوك وحكومات. الآن، تكشف التحليلات الجنائية أن Clop أعادت استخدام الكثير من بنيتها التحتية للهجوم - عناوين IP وبصمات رقمية سبق استخدامها في هجمات MOVEit - لهذا الهجوم على أوراكل. هذا الاستخدام الاستراتيجي سمح لهم بالضرب بسرعة وعلى نطاق واسع قبل أن تصدر أوراكل تصحيحاً في أكتوبر 2025.
يُستخدم E-Business Suite من أوراكل من قبل آلاف المؤسسات لإدارة كل شيء من الرواتب إلى المشتريات. وعند ترك الثغرة دون تصحيح، منحت العصابة مفاتيح المملكة الرقمية، بما في ذلك السجلات المالية والشخصية الحساسة. وسرعان ما تلقى الضحايا رسائل بريد إلكتروني تهددهم بنشر بياناتهم علناً ما لم يدفعوا فدية ضخمة.
تداعيات عالمية وآثار استراتيجية
أحدث الاختراق صدمة في عالم التكنولوجيا والأعمال. ومع إدراج أوراكل نفسها كضحية إلى جانب أسماء معروفة مثل مازدا وواشنطن بوست، يسلط الحادث الضوء على الخطر المتزايد الذي تشكله ثغرات يوم الصفر في البرمجيات المؤسسية واسعة الانتشار. وتبرز البنية التحتية للهجوم، الموزعة بين ألمانيا والبرازيل وبنما ولكنها متجذرة في مزودي خدمات روس، البعد الدولي لهذه الموجة من الجرائم الإلكترونية.
ومع تزايد تعقيد عصابات الفدية واغتنامها للفرص، ترتفع المخاطر السوقية والجيوسياسية. والدروس المستفادة للمؤسسات واضحة: حتى أكثر البرمجيات موثوقية قد تخفي تهديدات كامنة، والدفاع الاستباقي - not فقط التصحيح بعد وقوع الهجوم - أصبح ضرورة تجارية.
ويكي كروك
- يوم الصفر: ثغرة يوم الصفر هي خلل أمني خفي غير معروف لمطور البرنامج ولا يوجد له إصلاح، ما يجعله ذا قيمة وخطورة عالية للمهاجمين.
- تنفيذ التعليمات البرمجية عن بعد (RCE): تنفيذ التعليمات البرمجية عن بعد هو عندما يشغل المهاجم شفرته الخاصة على نظام الضحية، وغالباً ما يؤدي ذلك إلى السيطرة الكاملة أو اختراق النظام.
- تجاوز المصادقة: تجاوز المصادقة هو ثغرة تتيح للمهاجمين تخطي أو خداع عملية تسجيل الدخول، والحصول على وصول إلى الأنظمة دون بيانات اعتماد صحيحة.
- برمجيات الفدية: برمجيات الفدية هي برامج خبيثة تقوم بتشفير أو قفل البيانات، وتطالب الضحايا بدفع فدية لاستعادة الوصول إلى ملفاتهم أو أنظمتهم.
- إعادة استخدام البنية التحتية: إعادة استخدام البنية التحتية تعني أن المهاجمين الإلكترونيين يستخدمون نفس الخوادم أو النطاقات أو الشفرات في هجمات مختلفة، ما يسهل تتبع عملياتهم.
