وكيل الأمان يتحول إلى مخرب: ثغرة في JumpCloud Remote Assist تمنح القراصنة مفاتيح النظام
خطأ فادح في تصميم وكيل JumpCloud لنظام ويندوز يعرّض أكثر من 180,000 منظمة لهجمات تصعيد امتيازات مدمرة.
تخيل أن تثق بأداة أمان لحماية حصنك الرقمي - لتكتشف في النهاية أنها تركت الباب الخلفي مفتوحًا على مصراعيه. هذه هي الحقيقة المرعبة للمنظمات التي تعتمد على JumpCloud Remote Assist لنظام ويندوز، بعد أن كشف الباحثون عن ثغرة تستغل أداة إلغاء التثبيت الخاصة بها، مما يسمح لأي مستخدم بالاستيلاء الكامل على الجهاز. الثغرة، التي تحمل الرقم CVE-2025-34352، تحول مدير النقاط النهائية الموثوق إلى أفضل صديق للهاكرز، مهددة بحدوث اضطرابات هائلة وسرقة بيانات على مستوى العالم.
كيف فتح خطأ بسيط الأبواب
في قلب هذا الكابوس الأمني يكمن خطأ تقليدي لكنه كارثي: عملية ذات امتيازات عالية تقوم بعمليات ملفات حساسة في مجلد يمكن للمستخدمين الكتابة فيه. عند إلغاء تثبيت وكيل JumpCloud على ويندوز، تتم أيضًا إزالة مكون Remote Assist - ويتم تنفيذ أداة الإلغاء بامتيازات NT AUTHORITY\SYSTEM القوية. لكن بدلاً من العمل في منطقة نظام محمية، تعمل أداة الإلغاء داخل مجلد %TEMP% الخاص بالمستخدم، وهو ملعب حتى للمستخدمين الأقل امتيازًا.
تقوم العملية بإنشاء وحذف وتنفيذ ملف باسم Un_A.exe في مجلد مؤقت مثل %TEMP%\~nsuA.tmp. وبما أن المسار واسم الملف متوقعان بسهولة والمجلد قابل للكتابة من قبل أي مستخدم، يمكن للمهاجمين استغلال هذا السلوك بحيل معروفة تتعلق بنقاط الربط والروابط الرمزية. النتيجة؟ يمكنهم إعادة توجيه العمليات ذات الامتيازات إلى ملفات النظام الحرجة، أو الكتابة فوق برامج التشغيل الأساسية لإحداث شاشة الموت الزرقاء مرارًا (هجوم حجب الخدمة)، أو حتى حذف ملفات رئيسية في سباق مع الزمن للحصول على قشرة نظام (SYSTEM shell).
عمليًا، يمكن لأي حساب مستخدم على جهاز ويندوز معرض للخطر تحويل وكيل JumpCloud نفسه إلى أداة للاختراق الكامل. وبمجرد الدخول، يمكن للمهاجم تثبيت برمجيات خبيثة، أو سرقة بيانات حساسة، أو التنقل أفقيًا عبر الشبكات - مخترقًا بذلك الدفاعات التي تعتمد عليها المؤسسات.
لماذا حدث هذا - وماذا الآن؟
لطالما حذر خبراء الأمن من تشغيل العمليات ذات الامتيازات في مناطق يمكن للمستخدمين الكتابة فيها، لكن هذا النمط الخطير لا يزال يتسلل إلى البرمجيات الحديثة. الخطأ في وكيل JumpCloud يبرز كيف يمكن حتى للمنصات الأمنية الموثوقة أن تحتوي على ثغرات حرجة إذا تم تجاهل مبادئ التصميم الأساسية.
أصدرت JumpCloud إصلاحًا سريعًا في الإصدار 0.317.0، وحثت جميع العملاء على التحديث فورًا. يُنصح فرق الأمن بالتحقق من كل جهاز مدار، ومراجعة استراتيجيات تعزيز النقاط النهائية، وتدقيق الأدوات الأخرى بحثًا عن سلوكيات خطرة مماثلة. الاستغلال مباشر، لذا فإن تأخير التحديثات قد يعني تسليم مفاتيح مملكتك للمهاجمين.
