الشبكات الافتراضية الخاصة تحت الحصار: هجوم ضخم لرش كلمات المرور يستهدف Cisco وPalo Alto Networks

في الوقت الذي كنت تعتقد فيه أن وصولك عن بُعد آمن، تضرب موجة جديدة من الهجمات السيبرانية الآلية أبواب الشبكات المؤسسية الرقمية. خلال فترة محمومة استمرت 16 ساعة، استهدفت أكثر من 1.7 مليون محاولة تسجيل دخول بوابات GlobalProtect VPN التابعة لـ Palo Alto Networks، تلاها بسرعة تصاعد الهجمات ضد نقاط نهاية Cisco SSL VPN. هذه الهجمات - المنسقة، المستمرة، والمقلقة في تطورها - تشير إلى هجوم متجدد على العمود الفقري للوصول المؤسسي عن بُعد: الشبكة الافتراضية الخاصة.

حقائق سريعة

• أكثر من 1.7 مليون محاولة تسجيل دخول استهدفت شبكات Palo Alto GlobalProtect VPN خلال 16 ساعة فقط.
• انطلقت الهجمات من أكثر من 10,000 عنوان IP فريد، معظمها من مزود سحابي ألماني (3xK GmbH).
• تعرضت شبكات Cisco SSL VPN لتكتيكات رش كلمات المرور نفسها، مع ارتفاع عناوين IP المهاجمة إلى 1,273.
• استخدم المهاجمون سكريبتات آلية مع بيانات اعتماد شائعة، دون استغلال ثغرات برمجية.
• ينصح البائعون باستخدام كلمات مرور قوية، وتفعيل المصادقة متعددة العوامل، والمراقبة المستمرة.

داخل الهجوم: كيف يتطور رش كلمات المرور

بدأ الهجوم الأخير على شبكات VPN المؤسسية في 11 ديسمبر، عندما اكتشف محللو الأمن في GreyNoise ارتفاعاً حاداً في محاولات تسجيل الدخول ضد بوابات GlobalProtect التابعة لـ Palo Alto Networks. وقد انطلقت الهجمات - من شبكة واسعة تضم أكثر من 10,000 عنوان IP - من مزود السحابة الألماني 3xK GmbH تقريباً بالكامل، مما يشير إلى عملية مركزية وذات موارد جيدة. أما الأهداف فكانت: البنية التحتية الحيوية في الولايات المتحدة والمكسيك وباكستان.

وعلى عكس هجمات القوة الغاشمة التي تستهدف حساباً واحداً بآلاف محاولات كلمات المرور، استخدم هؤلاء المهاجمون تقنية رش كلمات المرور: تدوير أسماء المستخدمين وكلمات المرور الشائعة عبر مجموعة واسعة من الحسابات. وقد قامت السكريبتات الآلية بمحاكاة تدفقات تسجيل الدخول الشرعية، حتى أنها تعاملت مع حماية CSRF، وكل ذلك أثناء التظاهر بأنها متصفح Firefox - وهو خيار غير معتاد للروبوتات، لكنه يساعدها على تجاوز تدابير الكشف الأساسية.

في غضون يوم واحد، حول المهاجمون تركيزهم إلى نقاط نهاية Cisco SSL VPN، مستخدمين مرة أخرى نفس بنية عناوين IP المستضافة في ألمانيا وبصمات تقنية مشابهة. ارتفع عدد عناوين IP المهاجمة الفريدة إلى 1,273، وهو قفزة حادة عن الضوضاء المعتادة في الخلفية. وأكدت GreyNoise أن هذه الحوادث ليست مرتبطة بثغرة اليوم الصفري (CVE-2025-20393) التي كشفت عنها Cisco مؤخراً، بل تعكس تكتيكات حشو بيانات الاعتماد الكلاسيكية.

أكدت كل من Palo Alto Networks وCisco علمهما بالنشاط. وصرح متحدث باسم Palo Alto: "هذه محاولات برمجية لاكتشاف بيانات اعتماد ضعيفة"، مشدداً على أنه لم يتم استغلال أي ثغرات في منتجاتهم. وبدلاً من ذلك، تسلط الهجمات الضوء على المخاطر المستمرة التي تسببها كلمات المرور الضعيفة أو المعاد استخدامها، حتى عندما يكون البرنامج نفسه آمناً.

تحث GreyNoise والبائعون الشركات على اتخاذ إجراءات فورية: فرض سياسات كلمات مرور قوية، وتفعيل المصادقة متعددة العوامل، وتدقيق أجهزة VPN بحثاً عن تسجيلات دخول مشبوهة، وحظر نطاقات IP الضارة المعروفة. ومع اعتماد المهاجمين بشكل متزايد على موارد السحابة لأتمتة وتوسيع حملاتهم، تنتقل عبء الدفاع بشكل متزايد إلى المؤسسات لتعزيز بوابات المصادقة الخاصة بها.

الخلاصة: العامل البشري لا يزال الحلقة الأضعف

تعد موجة رش كلمات المرور الأخيرة تذكيراً صارخاً: حتى أقوى التقنيات يمكن أن تُقوض بسبب الإهمال في إدارة بيانات الاعتماد الأساسية. ومع ابتكار المهاجمين في الأتمتة والبنية التحتية السحابية، يجب على المدافعين مضاعفة الجهود في الأساسيات - كلمات مرور قوية، مصادقة متعددة الطبقات، ويقظة لا تهدأ. الحرب على بوابات VPN لم تنته بعد - وقد تكون الموجة التالية قد بدأت بالفعل.

ويكي كروك

• رش كلمات المرور: هو هجوم إلكتروني يتم فيه تجربة عدد قليل من كلمات المرور الشائعة عبر العديد من الحسابات لتجنب الاكتشاف وتجاوز آليات قفل الحساب.
• بوابة VPN: بوابة VPN تربط المستخدمين أو الشبكات البعيدة بشكل آمن بشبكة الشركة الداخلية، وتشفّر البيانات وتحميها من الوصول غير المصرح به.
• حشو بيانات الاعتماد: هو عندما يستخدم المهاجمون أسماء مستخدمين وكلمات مرور مسروقة من موقع ما لمحاولة الوصول إلى حسابات على مواقع أخرى.
• CSRF (تزوير الطلب عبر المواقع): هو هجوم ويب يقوم فيه المخترقون بخداع متصفحك لإرسال طلبات غير مصرح بها إلى موقع أنت مسجل الدخول فيه، مستغلين جلستك.
• ثغرة اليوم الصفري: هي ثغرة أمنية خفية غير معروفة لمطور البرنامج، ولا يوجد لها إصلاح متاح، مما يجعلها ذات قيمة وخطورة عالية للمهاجمين.