فوضى «صفر نقرة»: CISA تسارع لاحتواء موجة استغلال ثغرات برمجية

العنوان الفرعي: الوكالات الفيدرالية والشركات في سباق مع الزمن مع استهداف القراصنة لثغرات حرجة في Fortinet وMicrosoft وAdobe، مؤكَّد الآن أنها تُستغل بنشاط.

في لعبة قطّ وفأر سيبرانية عالية المخاطر، أطلقت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إنذارًا بشأن ست ثغرات برمجية جديدة يجري استغلالها، ما أحدث صدمة في أقسام تقنية المعلومات حول العالم. تأتي هذه الخطوة مع تصاعد الهجمات على أرض الواقع، إذ يستغل القراصنة نقاط ضعف في بعض أكثر أدوات المؤسسات انتشارًا - إدارة نقاط النهاية لدى Fortinet، وWindows وExchange من Microsoft، وReader من Adobe. الساعة تدق الآن أمام المؤسسات لتطبيق التصحيحات أو المخاطرة باختراقات كارثية.

حقائق سريعة

أضافت CISA ست ثغرات برمجية تُستغل بنشاط إلى كتالوج «الثغرات المعروفة المستغلة» (KEV) في 13 أبريل 2026.
أخطر ثغرة، CVE-2026-21643 في Fortinet FortiClient EMS، تتيح تنفيذ تعليمات برمجية عن بُعد دون مصادقة عبر طلب HTTP بسيط.
تشمل المنتجات المتأثرة الأخرى Microsoft Windows وExchange Server وAdobe Acrobat Reader وVisual Basic for Applications.
يتعين على الوكالات الفيدرالية تصحيح جميع الثغرات المدرجة بحلول 27 أبريل 2026؛ ويُحثّ القطاع الخاص على التحرك بالقدر نفسه من الإلحاح.
تستغل بعض الثغرات مجموعات برامج الفدية وجهات تهديد متقدمة ضمن حملات نشطة.

تشريح حالة طوارئ في الأمن السيبراني

أخطر تهديد في أحدث تنبيه من CISA هو ثغرة حقن SQL (CVE-2026-21643) في FortiClient Enterprise Management Server من Fortinet - وهي أداة تستخدمها الشركات عالميًا لفرض الأمن عبر أجهزة الموظفين. ما يجعل هذه الثغرة خطيرة على نحو خاص هو طبيعتها «صفر نقرة»: لا يحتاج المجرمون السيبرانيون إلى تسجيل دخول أو وصول مسبق، بل مجرد طلب HTTP مُحكم إلى الخادم المكشوف. وإذا نجحوا، يمكنهم إطلاق تعليمات برمجية عشوائية، والسيطرة، وربما التمركز أعمق داخل شبكة الشركة.

قرار CISA بإضافة هذه الثغرة وخمس ثغرات أخرى إلى كتالوج KEV ليس إجراءً روتينيًا فحسب - بل إشارة حمراء تفيد بأن المهاجمين يسلّحون هذه العيوب بالفعل. وتُظهر أدلة داعمة من شركة استخبارات التهديدات Defused Cyber أن محاولات استغلال ثغرة Fortinet تتصاعد منذ أواخر مارس. وفي الوقت نفسه، أكدت Microsoft أن المجموعة سيئة السمعة Storm-1175 تستغل ثغرة منفصلة في Exchange Server (CVE-2023-21529) لنشر برمجية الفدية Medusa.

القائمة الكاملة للإدخالات الجديدة في KEV ترسم صورة مقلقة: منتجات Windows وExchange من Microsoft، وقارئ PDF الشهير عالميًا من Adobe، وحتى مكونات قديمة مثل Visual Basic for Applications - all تحت الهجوم. وتتراوح الثغرات بين تصعيد الامتيازات وتحميل مكتبات غير آمن إلى إلغاء التسلسل وأخطاء «استخدام بعد التحرير» - وكل منها مسار مختلف يمكّن المهاجمين من الاختراق، أو تصعيد الصلاحيات، أو تشغيل تعليمات برمجية خبيثة.

الوكالات الفيدرالية ملزمة بموعد تشغيلي نهائي لتصحيح الثغرات خلال أيام، لكن القطاع الخاص ليس بمنأى. تشجع CISA بشدة جميع المؤسسات على اتباع الجدول الزمني الصارم نفسه، محذّرة من أنه إذا تعذر تطبيق التصحيحات، فقد يكون الخيار الآمن الوحيد هو التوقف عن استخدام البرمجيات المتأثرة بالكامل.

لماذا يهم هذا

تؤكد موجة الاستغلال هذه حقيقة قاسية: في مشهد التهديدات اليوم، قد يفتح خادم واحد غير مُصحَّح الباب أمام هجمات مدمرة. سرعة وتعقيد المجرمين السيبرانيين المعاصرين لا يتركان هامشًا كبيرًا للتأخير أو التراخي. ومع وجود عصابات برامج الفدية ومجموعات مدعومة من دول على حد سواء، فالرسالة واضحة - طبّق التصحيحات بسرعة، وراقب الشبكات بحثًا عن نشاط مريب، وافترض أنه إذا كانت ثغرة ما على قائمة KEV لدى CISA، فهي مستهدفة بالفعل.

WIKICROOK

حقن SQL: حقن SQL هو تقنية اختراق يُدخل فيها المهاجمون شيفرة خبيثة ضمن مدخلات المستخدم لخداع قاعدة البيانات لتنفيذ أوامر ضارة.
تنفيذ تعليمات برمجية عن بُعد (RCE): تنفيذ التعليمات البرمجية عن بُعد (RCE) هو عندما يشغّل المهاجم شيفرته الخاصة على نظام الضحية، وغالبًا ما يؤدي ذلك إلى سيطرة كاملة أو اختراق للنظام.
تصعيد الامتيازات: يحدث تصعيد الامتيازات عندما يحصل المهاجم على وصول أعلى مستوى، منتقلاً من حساب مستخدم عادي إلى صلاحيات المسؤول على نظام أو شبكة.
الاستخدام: في الأمن السيبراني، تعني كلمة «use» الوصول إلى مورد أو التفاعل معه. وقد يؤدي الاستخدام غير السليم، مثل استخدام ذاكرة تم تحريرها، إلى إنشاء ثغرات أمنية.
إلغاء التسلسل: يحوّل إلغاء التسلسل البيانات إلى كائنات برمجية قابلة للاستخدام. وإذا لم يُنفَّذ بأمان، فقد يتيح للمهاجمين حقن تعليمات ضارة داخل التطبيقات.