باب خلفي من نوع يوم-صفر: برمجية RESURGE الخبيثة تتسلّل عبر درع Ivanti
العنوان الفرعي: تحذّر CISA المؤسسات من برمجية خبيثة جديدة شديدة الاستمرارية تستغل ثغرات Ivanti Connect Secure.
عند الساعة الثانية صباحًا، تبدو الأضواء الوامضة على بوابة VPN مؤسسية أمرًا بريئًا. لكن بالنسبة لمئات المؤسسات التي تستخدم Ivanti Connect Secure، قد تشير تلك الأضواء الآن إلى حصارٍ غير مرئي. ففي تحذير جديد يبعث على القشعريرة، أطلقت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) صافرة الإنذار: برمجية RESURGE الخبيثة تتربّص، وتستغل ثغرة حرجة في Ivanti، وتغرس نفسها عميقًا داخل دفاعات الشبكات.
تشريح RESURGE: سلالة جديدة من التهديدات
RESURGE ليست برمجية خبيثة عادية. فبحسب تقرير تحليل البرمجيات الخبيثة الصادر عن CISA، فهي فرع متقدّم من SPAWNCHIMERA سيئة الصيت. ما يميّز RESURGE هو قدرتها ليس فقط على اختراق أجهزة VPN واسعة الاستخدام لدى Ivanti، بل أيضًا على التمركز - إذ تعيد كتابة صور إقلاع النظام وتتجاوز فحوصات السلامة القياسية. الثغرة التي تستغلها، CVE-2025-0282، هي فيض مخزن مؤقت قائم على المكدّس (stack-based buffer overflow). وبفضل هذا الخلل، يستطيع المهاجمون تنفيذ شيفرة عشوائية، أي الاستيلاء فعليًا على الجهاز المتأثر.
وبمجرد دخولها، تنشر RESURGE Web Shell - بابًا خلفيًا سريًا يمنح المهاجمين وصولًا عن بُعد. ومن هناك، يمكن للبرمجية جمع بيانات الاعتماد، وإنشاء حسابات ذات امتيازات أو إعادة تعيينها، وتصعيد الصلاحيات. ولا يتوقف التعقيد عند هذا الحد: فمن خلال تعديل صورة coreboot للجهاز ونسخ نفسها إلى قرص الإقلاع الجاري، تضمن RESURGE بقاءها حتى بعد إعادة التشغيل أو التنظيف الأساسي، ما يجعل استئصالها مهمة شاقة.
التخفيف: سباق ضد الاستمرارية
إرشادات CISA لا تحتمل اللبس: تحرّكوا الآن. تُحثّ المؤسسات على إجراء إعادة ضبط مصنع كاملة لأجهزة Ivanti المتأثرة، باستخدام صور خارجية موثوقة ونظيفة فقط - خصوصًا في عمليات النشر السحابية أو الافتراضية. لكن إعادة الضبط وحدها لا تكفي. يجب تغيير جميع بيانات اعتماد حسابات النطاق والحسابات المحلية، ويفضّل مرتين، لمواجهة الأبواب الخلفية المحتملة وسرقة بيانات الاعتماد. كما ينبغي مراجعة أذونات الوصول وتقليلها، مع تحذير المسؤولين من ضرورة مراقبة أي نشاط شاذ على الحسابات ذات الامتيازات. وقد أُطلقت تواقيع كشف، بما في ذلك قواعد YARA وSIGMA، لمساعدة المؤسسات على تحديد الإصابات.
نشرت Ivanti خطوات الاستعادة، وينبغي اتباع إرشادات الإخلاء الخاصة بـ CISA عن كثب. ومع قدرة RESURGE على الحفاظ على الاستمرارية، قد تترك الحلول الجزئية المؤسسات عرضة لهجوم متجدد. السباق قائم - ليس فقط لإزالة البرمجية الخبيثة، بل للبقاء متقدمين على تكتيكاتها المتطورة.
الخلاصة: المرحلة التالية من التجسس السيبراني
يشير ظهور RESURGE إلى فصل جديد في الحرب السيبرانية - حيث لا يكتفي المهاجمون بالاقتحام، بل يرسّخون وجودهم على المدى الطويل. وبالنسبة للمؤسسات التي تعتمد على بوابات Ivanti الآمنة، أصبحت اليقظة والاستجابة السريعة أمرين غير قابلين للتفاوض. قد تكون الأضواء الوامضة على جهاز الـVPN لديك مجرد قمة جبل جليد شديد الخطورة.
WIKICROOK
- Web Shell: الـWeb Shell هو نص برمجي خبيث يرفعه القراصنة إلى خادم، ما يتيح لهم التحكم بالخادم عن بُعد عبر واجهة ويب.
- Stack: المكدّس (Stack) هو بنية بيانات من نوع LIFO تُستخدم في إدارة الذاكرة، وهي حاسمة لتنفيذ البرامج وغالبًا ما تُستهدف في هجمات الأمن السيبراني مثل فيض المخزن المؤقت.
- Persistence Mechanism: آلية الاستمرارية هي طريقة تستخدمها البرمجيات الخبيثة للبقاء نشطة على النظام، متجاوزةً إعادة التشغيل ومحاولات الإزالة من قبل المستخدمين أو أدوات الحماية.
- Privilege Escalation: يحدث تصعيد الامتيازات عندما يحصل المهاجم على وصول أعلى مستوى، منتقلًا من حساب مستخدم عادي إلى صلاحيات المسؤول على نظام أو شبكة.
- YARA/SIGMA Rules: قواعد YARA وSIGMA هي تواقيع كشف تُستخدم لتحديد البرمجيات الخبيثة في الملفات أو النشاط المشبوه في السجلات، ما يساعد على اكتشاف تهديدات الأمن السيبراني.
