استيلاء صامت: كيف فتحت ثغرات مُهملة في Dell Wyse Suite الباب أمام المتسللين السيبرانيين

سلسلة من الأخطاء التي بدت بسيطة في Wyse Management Suite من Dell عرّضت المؤسسات لاستيلاء كامل عن بُعد - من دون الحاجة إلى كلمة مرور.

تخيّل أنك تدخل غرفة خوادم مُقفلة لتجد الباب مواربًا، وكاميرا المراقبة موجّهة إلى الجهة الأخرى. بالنسبة للمسؤولين الذين يشغّلون Wyse Management Suite (WMS) من Dell محليًا (On-Premises)، لم يكن ذلك مجرد استعارة - بل كان واقعًا مُرعبًا حتى صدور تصحيح حديث. فقد كشف الباحث الأمني ألكسندر جورناكوف من PT Security عن سلسلة استغلال حرجة تحوّل هفوات صغيرة إلى اختراق كامل للنظام، وكل ذلك من دون أن يحتاج المهاجم إلى بيانات اعتماد صالحة.

حقائق سريعة

ثغرتان جديدتان (CVE-2026-22765 و CVE-2026-22766) تتيحان تصعيد الامتيازات وتنفيذ تعليمات برمجية عن بُعد في Dell Wyse Management Suite (On-Premises).
يمكن للمهاجمين تسجيل أجهزة خبيثة والحصول على رموز النظام - من دون مصادقة.
عيوب في واجهات برمجة تطبيقات Active Directory تمكّن المهاجمين من إنشاء حسابات مسؤول، حتى في الإصدارات التي يكون فيها دعم AD معطّلًا.
المرحلة الأخيرة: رفع Web Shell خبيث، ما يؤدي إلى تحكم كامل بالخادم.
أصدرت Dell تصحيحًا (WMS v5.5)؛ ويُحثّ المسؤولون على التحديث فورًا.

سلسلة الاستغلال: من الصفر إلى بطل النظام

يبدأ الهجوم بشكل يبدو بريئًا: إذ إن Wyse Management Suite، المصمّم لمساعدة المؤسسات على إدارة أساطيل من الأجهزة الطرفية الخفيفة (Thin Clients)، يسمح افتراضيًا لأي جهاز بالتسجيل باستخدام رمز مجموعة فارغ. ومن المفترض عزل هذه الأجهزة ضمن مجموعة “الحجر الصحي”، لكن النظام ما يزال يمنحها رموز مصادقة صالحة - وهو ما يكفي لفتح المرحلة التالية.

باستخدام هذه الرموز، يتفاعل المهاجمون مع واجهات برمجة تطبيقات (APIs) مخفية مخصّصة لتكامل Active Directory (AD). وهنا تكمن المفاجأة: حتى إصدار WMS القياسي (Standard)، الذي يدّعي أن ميزات AD فيه معطّلة، يترك هذه الواجهات مكشوفة. هذا الإغفال يتيح للمهاجم إنشاء مجموعة مسؤولين جديدة وربطها بمستخدم جديد - ممهّدًا الطريق لتصعيد الامتيازات.

العقبة التالية أمام المهاجم هي تسجيل الدخول إلى حساب المسؤول الذي تم إنشاؤه للتو. ومن خلال استغلال آلية إعادة تعيين كلمة المرور - وتحديدًا عبر ترك بعض سمات المستخدم فارغة - يخدع النظام ليعامل الحساب كمستخدم محلي، لا كحساب AD مستورد. ثم تقوم عملية إعادة التعيين بإرسال بيانات اعتماد جديدة بشكل “مناسب” إلى عنوان بريد إلكتروني يسيطر عليه المهاجم.

في بيئات Pro، يمكن للمهاجمين ربط حساب المسؤول مباشرةً بمستخدم نطاق (Domain) مخترق، متجاوزين حتى هذه الحيلة. وبعد تأمين صلاحيات المسؤول، يعيد المهاجم توجيه مستودع ملفات البرنامج إلى الدليل الجذر لخادم الويب Tomcat، ويرفع Web Shell خبيثًا بصيغة JavaServer Pages (JSP)، ويفرض إعادة تشغيل للنظام. النتيجة: تنفيذ تعليمات برمجية عن بُعد بشكل كامل ومستمر، بما يمنحهم فعليًا مفاتيح المملكة.

تُظهر نتائج جورناكوف، التي جرى التعامل معها الآن في أحدث نشرة من Dell رقم DSA-2026-103، كيف يمكن لعيوب منطقية صغيرة أن تتسلسل لتتحول إلى اختراقات كارثية - خصوصًا عندما تكون ميزات الأمان سطحية لا أكثر.

دروس من الاختراق

تُعد حادثة Dell Wyse تذكيرًا صارخًا: في الأمن السيبراني، “الافتراضي” لا يعني “الآمن”، وواجهات الـAPI المخفية قد تكون خطرة بقدر المنافذ المفتوحة. ينبغي للمؤسسات التي تعتمد على WMS تطبيق التصحيح فورًا، وتدقيق عمليات تسجيل الأجهزة، والتحقق مجددًا من أن الميزات “المعطّلة” معطّلة فعلًا. في السباق بين المهاجمين والمدافعين، قد يحدد إعداد واحد تم تجاهله النتيجة.

WIKICROOK

تصعيد الامتيازات: يحدث تصعيد الامتيازات عندما يحصل المهاجم على وصول أعلى مستوى، منتقلًا من حساب مستخدم عادي إلى صلاحيات المسؤول على نظام أو شبكة.
تنفيذ تعليمات برمجية عن بُعد: يتيح تنفيذ التعليمات البرمجية عن بُعد للمهاجمين تشغيل أوامر على جهازك من مسافة بعيدة، وغالبًا ما يؤدي إلى اختراق كامل للنظام وسرقة البيانات.
رمز المصادقة: رمز المصادقة هو مفتاح رقمي يتحقق من هويتك للتطبيقات أو الخدمات، ما يسمح بوصول آمن دون إعادة إدخال كلمة المرور.
Active Directory: Active Directory هو نظام Microsoft لإدارة المستخدمين والأجهزة والأذونات عبر شبكات المؤسسات، بما يركز التحكم في الوصول وضوابط الأمان.
Web Shell: الـWeb Shell هو نص برمجي خبيث يرفعه القراصنة إلى خادم، ما يتيح لهم التحكم بالخادم عن بُعد عبر واجهة ويب.