أزمة الهوية: ثغرة أمنية في أوراكل تفتح الباب أمام متسللين إلكترونيين غامضين
تم استغلال ثغرة خطيرة في Oracle Identity Manager بشكل نشط، مما عرض المؤسسات لهجمات خفية قبل توفر أي تصحيح.
حقائق سريعة
- تعرض Oracle Identity Manager لثغرة شديدة وسهلة الاستغلال (CVE-2025-61757)، تم تصحيحها في أكتوبر 2025.
- سمحت الثغرة للمهاجمين بتجاوز المصادقة وتشغيل التعليمات البرمجية عن بُعد، مما قد يؤدي إلى السيطرة الكاملة على الأنظمة المتأثرة.
- تظهر الأدلة أن الثغرة استُغلت كـ "زيرو داي"، حيث تتبع الهجمات إلى أواخر أغسطس - أي قبل أسابيع من إصدار التصحيح.
- أصدرت CISA توجيهاً عاجلاً لوكالات الحكومة الأمريكية لتصحيح الثغرة بحلول 12 ديسمبر.
- شملت تقنية الاستغلال خداع مرشحات الأمان واستغلال نقطة نهاية لسكريبت Groovy لتنفيذ تعليمات برمجية خبيثة.
عندما تتحول الهوية إلى نقطة ضعف
تخيل خزنة بنك بقفل إلكتروني - يُعتمد عليه لإبعاد المتسللين. الآن، تخيل لصاً يكتشف خدعة لتجاوز القفل تماماً والدخول دون أن يلاحظه أحد. هذه هي الحقيقة الرقمية التي تواجهها المؤسسات التي تستخدم Oracle Identity Manager (OIM)، البرنامج الذي يقف في قلب إدارة وصول المستخدمين لبعض أكبر الشركات والوكالات الحكومية في العالم.
في الأسبوع الماضي، كشف باحثو الأمن في Searchlight Cyber عن ثغرة حرجة في OIM (CVE-2025-61757)، سمحت للمهاجمين بتجاوز فحوصات الأمان وتنفيذ تعليمات برمجية عن بُعد - دون الحاجة إلى كلمة مرور أو معرفة داخلية. سارعت أوراكل لإصدار تصحيح في تحديثاتها الأمنية لشهر أكتوبر 2025، لكن الضرر ربما كان قد وقع بالفعل: تشير الأدلة إلى أن المهاجمين استغلوا الثغرة منذ أغسطس، أي قبل أسابيع من صدور التصحيح.
خلف الاختراق: كيف تم تنفيذ الاستغلال
كانت الثغرة سهلة الاستغلال بشكل صادم. من خلال إضافة بعض الرموز - مثل "?WSDL" أو ";.wadl" - إلى عناوين الويب المستخدمة من قبل REST APIs في OIM، تمكن القراصنة من خداع النظام لكشف نقاط نهاية حساسة كان من المفترض أن تكون محجوبة. وبمجرد الدخول، وصلوا إلى ميزة مخصصة لتجميع سكريبتات Groovy (أداة برمجة)، لكنهم استخدموها كمعبر سري لتنفيذ تعليماتهم الخبيثة.
كأن باب التوصيل في الجزء الخلفي من البنك، المخصص فقط للموظفين الموثوقين، يمكن فتحه على مصراعيه بمجرد كتابة رمز سري على اللافتة. من هناك، يمكن للمهاجمين تصعيد امتيازاتهم، والتنقل أفقياً عبر أنظمة الشركة، وربما سرقة بيانات حساسة مثل بيانات اعتماد المستخدمين والمعلومات الشخصية.
ظلال الزيرو داي ونمط المخاطر
وفقاً لجوهانس أولريش من معهد SANS للتكنولوجيا، أظهرت السجلات نشاطاً مشبوهاً يستهدف الثغرة منذ 30 أغسطس. قامت عدة عناوين IP بفحص نقاط النهاية الضعيفة، لكن جميعها اختبأت خلف نفس القناع الرقمي، مما يشير إلى مهاجم واحد مستمر. هذا النمط يعكس عمليات السطو الإلكتروني البارزة السابقة، من حادثة Log4Shell الشهيرة في 2021 إلى ثغرات الزيرو داي الأخيرة التي تستهدف برمجيات المؤسسات.
أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) بسرعة ثغرة أوراكل إلى قائمة "الثغرات المستغلة المعروفة"، وحثت الوكالات الفيدرالية على التصحيح بحلول 12 ديسمبر - في إشارة إلى خطورة التهديد. وبينما تسارع المؤسسات لتأمين أنظمتها، يبرز هذا الحدث موضوعاً متكرراً: بينما يقوم المدافعون بسد ثغرة، يكون المهاجمون قد بدأوا بالفعل في البحث عن الشق التالي في الحصن.
ويكي كروك
- زيرو: ثغرة زيرو داي هي خلل أمني مخفي غير معروف لمطور البرنامج، ولا يوجد لها تصحيح متاح، مما يجعلها ذات قيمة وخطورة عالية للمهاجمين.
- تنفيذ التعليمات البرمجية عن بُعد (RCE): تنفيذ التعليمات البرمجية عن بُعد هو عندما يشغل المهاجم تعليماته البرمجية الخاصة على نظام الضحية، وغالباً ما يؤدي ذلك إلى السيطرة الكاملة أو اختراق النظام.
- تجاوز المصادقة: تجاوز المصادقة هو ثغرة تتيح للمهاجمين تخطي أو خداع عملية تسجيل الدخول، والحصول على وصول إلى الأنظمة دون بيانات اعتماد صحيحة.
- واجهة برمجة تطبيقات REST: واجهة برمجة تطبيقات REST هي مجموعة من القواعد التي تتيح لأنظمة البرمجيات المختلفة التواصل عبر الإنترنت، وتعمل كمترجم بين المواقع والتطبيقات.
- سكريبت Groovy: سكريبت Groovy هو برنامج صغير يُستخدم لأتمتة المهام في أنظمة البرمجيات، لكنه قد يُستغل لتشغيل تعليمات برمجية غير مصرح بها إذا لم يكن مؤمناً.
