Netcrook Logo
👤 KERNELWATCHER
🗓️ 05 Jan 2026   🌍 Asia

ظلّ فوق التخزين: ثغرات مركز تراخيص QNAP تفتح الباب لسرقات البيانات

ثغرات حرجة في مركز تراخيص QNAP تهدد بيانات المستخدمين الحساسة واستقرار الأنظمة، ما يستدعي تحديثات أمنية عاجلة.

عندما تلتقي الراحة باللامبالاة، قد تتحول حتى أكثر حلول التخزين موثوقية إلى ملعب للصوص. هذا الأسبوع، وجدت QNAP - الشركة الشهيرة المصنّعة لأجهزة التخزين المتصل بالشبكة (NAS) - نفسها في سباق لإصلاح ثغرتين، لا واحدة، في برنامج مركز التراخيص لديها، وهما عيبان قد يتيحان للمهاجمين نهب بيانات حساسة أو إسقاط أنظمة كاملة على ركبها. ويبدو تنبيه الشركة الأمني كطلقة تحذير: تحرّك الآن، أو خاطر بكل ما كان من المفترض أن يحميه جهاز NAS لديك.

كيف يحدث الاختراق

الثغرتان - المتتبعتان بالمعرّفين CVE-2025-52871 وCVE-2025-53597 - تنشآن من أخطاء كلاسيكية في إدارة الذاكرة، وهي هفوات تطارد البرمجيات منذ عقود. الأولى هي ثغرة «قراءة خارج الحدود». وبمجرد امتلاك حساب مستخدم عادي، يمكن لمهاجم عن بُعد خداع النظام لكشف أجزاء من الذاكرة لم يكن ينبغي أن تقع تحت نظره. وقد تحتوي تلك الذاكرة على أي شيء: مفاتيح تشفير، ملفات خاصة، أو بيانات اعتماد سرية. إنها عملية اقتحام ونهب رقمية، أتاحها سهو واحد في البرمجة.

أما العيب الثاني فهو تجاوز سعة المخزن المؤقت (Buffer Overflow)، وهو نوع أشد خبثًا من الثغرات ويتطلب صلاحيات إدارية. هنا يمكن للمهاجم إغراق المخزن المؤقت للذاكرة عمدًا، ما يؤدي إلى الكتابة فوق بيانات حرجة، أو تعطيل عمليات أساسية، أو حتى تنفيذ شيفرة خبيثة. والنتيجة؟ احتمال حدوث حجب خدمة (DoS)، أو تلف بيانات، أو نظام غير مستقر - وهي ظروف مثالية لمزيد من الاستغلال.

لماذا يهم الأمر

رغم أن QNAP صنّفت الشدة على أنها «متوسطة»، فإن المخاطر الواقعية أعلى بكثير لدى المؤسسات التي تعتمد على أجهزة NAS في عملياتها اليومية أو سجلاتها الحساسة. قد يؤدي حساب واحد مخترق إلى تسريبات بيانات أو فوضى تشغيلية. وقد جرى الإبلاغ عن الثغرتين بمسؤولية من قبل الباحث الأمني Coral، ما منح QNAP وقتًا لتطوير التصحيح وتوزيعه قبل أن يتمكن المهاجمون من تسليح العيوب على نطاق واسع.

للبقاء في أمان، يجب على المستخدمين التحديث إلى مركز التراخيص 2.0.36 أو أحدث. العملية مباشرة: سجّل الدخول إلى QTS أو QuTS Hero، وانتقل إلى App Center، وثبّت أحدث إصدار. ومع ذلك، يُظهر التاريخ أن كثيرًا من المستخدمين يؤخرون التحديثات الحرجة، تاركين أجهزتهم مكشوفة لفترة طويلة بعد توفر الإصلاحات.

الصورة الأكبر

هذا الحادث تذكير صارخ بأن حتى المورّدين الراسخين مثل QNAP ليسوا بمنأى عن أخطاء برمجية ذات عواقب خطيرة. ومع ازدياد جرأة المهاجمين وتطورهم، تتقلص النافذة بين اكتشاف الثغرة واستغلالها. بالنسبة لمالكي أجهزة NAS، لم تعد اليقظة خيارًا - بل ضرورة يومية. بياناتك ليست أكثر أمانًا من آخر تصحيح ثبّتّه.

WIKICROOK

  • التخزين المتصل بالشبكة (NAS): التخزين المتصل بالشبكة (NAS) هو جهاز يوفر تخزين بيانات مركزيًا وسهل الوصول ومشاركة ملفات لعدة مستخدمين عبر شبكة.
  • Out: يتحقق التحقق خارج النطاق من الهوية باستخدام قناة منفصلة، مثل مكالمة هاتفية أو رسالة نصية، لتعزيز الأمان ومنع الوصول غير المصرح به.
  • تجاوز سعة المخزن المؤقت: تجاوز سعة المخزن المؤقت هو خلل برمجي تُكتب فيه بيانات أكثر من اللازم إلى الذاكرة، ما قد يتيح للقراصنة استغلال النظام عبر تشغيل شيفرة خبيثة.
  • Denial: يعني «الحجب» في الأمن السيبراني جعل الأنظمة أو الخدمات غير متاحة للمستخدمين، غالبًا عبر هجمات مثل حجب الخدمة (DoS) التي تُغرقها بحركة مرور كثيفة.
  • تصعيد الامتيازات: يحدث تصعيد الامتيازات عندما يحصل المهاجم على وصول أعلى مستوى، منتقلًا من حساب مستخدم عادي إلى صلاحيات المسؤول على نظام أو شبكة.
QNAP data security vulnerabilities
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news