حقائق سريعة

• يستغل القراصنة ثغرة حقن أوامر في أجهزة Array Networks AG Series VPN لتثبيت شيفرات ويب سرية وإنشاء مستخدمين غير مصرح لهم.
• تؤثر الثغرة على الإصدارات حتى ArrayOS AG 9.4.5.8؛ وقد تم إصلاحها في الإصدار 9.4.5.9، لكن تتبعها صعب بسبب عدم وجود معرف CVE رسمي.
• رصدت هيئة CERT اليابانية هجمات منذ أغسطس 2023 على الأقل، استهدفت بشكل أساسي منظمات في اليابان، وتم تتبع النشاط إلى عنوان IP محدد.
• تُستخدم أجهزة Array Networks AG Series للوصول الآمن عن بُعد من قبل مؤسسات كبيرة، خاصة في آسيا والولايات المتحدة.
• يحذر خبراء الأمن من أن الوعي العالمي منخفض، مما يثير مخاوف من استغلالات إضافية واختراقات غير مرصودة.

ثغرة مخفية على مرأى من الجميع

تخيل حصناً بباب جانبي مخفي - حتى الحراس لا يعلمون بوجوده. لعدة أشهر، كان القراصنة يتسللون عبر مثل هذا المدخل الرقمي في أجهزة VPN من سلسلة AG التابعة لـ Array Networks. من خلال استغلال ثغرة دقيقة تُعرف باسم "حقن الأوامر"، قام مجرمو الإنترنت بهدوء بزرع شيفرات ويب سرية - أبواب خلفية متخفية - في الأنظمة المستهدفة. تتيح هذه الشيفرات للمهاجمين إصدار أوامر وإنشاء حسابات مستخدمين مارقة، مما يمنحهم فعلياً مفاتيح القلعة.

كانت الثغرة موجودة في جميع إصدارات ArrayOS AG حتى 9.4.5.8، وتم ترقيعها في مايو 2023. ومع ذلك، ونظراً لعدم تخصيص معرف رسمي للثغرة (مثل CVE)، تكافح المؤسسات لتتبع الأنظمة التي لا تزال معرضة للخطر. أدى غياب التواصل الواضح وعدم وجود تحذير عام إلى ترك العديد من فرق تكنولوجيا المعلومات في الظلام - في مثال كلاسيكي على فشل "الأمن عبر الإخفاء".

من اليابان إلى العالم: اختراق مستهدف

كانت هيئة الاستجابة لطوارئ الحاسوب اليابانية (JPCERT) أول من دق ناقوس الخطر. تتبع باحثوها الهجمات إلى أغسطس، وحددوا عنوان IP واحد كمصدر للهجمات. كشف تقريرهم أن المهاجمين كانوا يزرعون شيفرات ويب مبنية على PHP في مجلد محدد، مما يسمح بالتحكم عن بُعد في الأجهزة المخترقة. وبينما ركزت معظم الهجمات المرصودة على منظمات يابانية، أظهرت عمليات المسح الأمني وجود أكثر من 1800 جهاز معرض للخطر حول العالم، مع تجمعات في الصين والولايات المتحدة وأجزاء أخرى من آسيا.

أبرز الباحث الأمني يوتاكا سيجياما من شركة Macnica أن معظم هذه الأجهزة تخدم مؤسسات كبيرة - شركات تعتمد على VPN آمن لتمكين العمل عن بُعد والوصول إلى السحابة. ويزداد الخطر بالنسبة لأولئك الذين يستخدمون ميزة الوصول عن بُعد "DesktopDirect"، التي تبدو هدفاً خاصاً للهجمات.

ديجا فو: نمط من استغلالات VPN

هذه ليست المرة الأولى التي تصبح فيها بوابات VPN هدفاً للهجمات. ففي عام 2023، حذرت وكالة CISA من ثغرة أخرى في أجهزة Array Networks (CVE-2023-28461) أتاحت تنفيذ أوامر عن بُعد. النمط واضح: مع اعتماد المؤسسات بشكل متزايد على العمل عن بُعد، يقوم المهاجمون باختبار الأدوات المصممة لحمايتهم. غالباً ما يتم تجاهل أجهزة VPN في دورات التحديث، مما يجعلها أهدافاً جذابة للجهات المهددة الباحثة عن موطئ قدم سري.

ما يميز هذه المرة هو ضعف الاستجابة الدولية. مع تركّز معظم الحوادث في آسيا، كانت استجابة شركات الأمن العالمية بطيئة، مما قد يترك المؤسسات الغربية مكشوفة وغير مدركة للخطر. وتبرز هذه الحادثة درساً محورياً: في الدفاع السيبراني، ما يحدث "هناك" يمكن أن يتحول بسرعة إلى أزمة محلية.

ويكي كروك

• حقن الأوامر: حقن الأوامر هو ثغرة يستغل فيها المهاجمون الأنظمة لتنفيذ أوامر غير مصرح بها عبر إدخال بيانات خبيثة في الحقول أو الواجهات المخصصة للمستخدمين.
• شيفرة ويب (ويب شيل): شيفرة الويب هي برنامج مخفي يرفعه القراصنة إلى موقع إلكتروني مخترق، مما يمنحهم تحكماً عن بُعد ووصولاً غير مصرح به كأنها باب خلفي سري.
• VPN (الشبكة الافتراضية الخاصة): تقوم VPN بتشفير اتصالك بالإنترنت وإخفاء عنوان IP الخاص بك، مما يوفر خصوصية وأماناً إضافيين أثناء التصفح أو استخدام شبكات الواي فاي العامة.
• CVE (الثغرات والتعرضات الشائعة): CVE هو معرف عام وفريد لثغرة أمنية محددة، مما يتيح تتبعها ومناقشتها بشكل موحد في صناعة الأمن السيبراني.
• تنفيذ الأوامر عن بُعد: تنفيذ الأوامر عن بُعد يسمح للمهاجمين بتشغيل أوامر على جهازك من مسافة بعيدة، وغالباً ما يؤدي إلى اختراق كامل للنظام وسرقة البيانات.