مواقع ووردبريس تحت الحصار: سباق قراصنة Sneeit RCE ضد التصحيح مع إطلاق شبكة Frost بوتنت

ثغرات حرجة في إطار عمل Sneeit وICTBroadcast تؤجج موجة جديدة من الهجمات الإلكترونية، مما يضع مديري المواقع في حالة تأهب قصوى.

بدأ اليوم بشكل روتيني لآلاف من مالكي مواقع ووردبريس - حتى بدأت موجة لا هوادة فيها من الهجمات تضرب خوادمهم. في الخفاء، استغل مجرمو الإنترنت ثغرات جديدة في إضافة Sneeit Framework، بينما ظهرت شبكة بوتنت متطورة جديدة تُدعى "Frost" من الظلال، مستغلة ثغرات في ICTBroadcast لإطلاق حملات DDoS مستهدفة. وبينما كانت فرق الأمن تسارع للرد، تحرك المهاجمون بسرعة، تاركين وراءهم مواقع مخترقة وفوضى رقمية.

أزمة Sneeit: من الكشف إلى الاستغلال في غضون ساعات

في 24 نوفمبر 2025، لاحظت شركة Wordfence الأمنية المتخصصة في ووردبريس زيادة في الهجمات التي تستهدف ثغرة حرجة تم الكشف عنها حديثاً (CVE-2025-6389) في إضافة Sneeit Framework - وهي أداة نشطة على أكثر من 1,700 موقع. كانت الثغرة موجودة في جميع الإصدارات حتى 8.3، وتسمح للمهاجمين غير الموثقين بتنفيذ تعليمات برمجية PHP عشوائية على خوادم الضحايا. كيف؟ من خلال دالة ضعيفة، sneeit_articles_pagination_callback()، لم تقم بتنقية مدخلات المستخدم قبل تمريرها إلى call_user_func(). هذا فتح الباب أمام القراصنة لإنشاء مستخدمين إداريين جدد، وحقن أبواب خلفية دائمة، وتنفيذ تعليمات برمجية خبيثة.

لم يضيع المهاجمون الوقت. خلال ساعات من الكشف العلني، سجلت Wordfence أكثر من 131,000 محاولة تم حظرها، مع إطلاق بعض عناوين IP آلاف المحاولات لكل منها. شمل أسلوب المهاجمين إرسال طلبات مصممة إلى /wp-admin/admin-ajax.php، وإنشاء حسابات إدارية مثل "arudikadis"، ورفع ملفات PHP خبيثة مثل "tijtewmg.php" و"xL.php". أتاحت هذه الأبواب الخلفية التلاعب بالملفات، ومسح الأدلة، وحتى تجاوز قيود خادم الويب عبر ملفات .htaccess مخصصة تم جلبها من خوادم خارجية.

شبكة Frost بوتنت: ضربات دقيقة عبر ثغرة ICTBroadcast

بينما كان مدراء ووردبريس يتعاملون مع تداعيات Sneeit، كان تهديد آخر يتصاعد. حدد باحثو الأمن في VulnCheck هجمات تستغل ثغرة ICTBroadcast (CVE-2025-2611)، حيث نشر المهاجمون برنامجاً نصياً لتحميل وتنفيذ ملف ثنائي متعدد المنصات يُدعى "Frost". على عكس شبكات البوتنت العشوائية، فإن Frost انتقائية: فهي تتحقق من علامات معينة قبل استغلال الهدف، وتستخدم منطقاً لضمان اختراق الأنظمة الضعيفة فقط.

بمجرد التثبيت، تتسلح Frost بمجموعة من أدوات DDoS واستغلالات الانتشار - أربعة عشر استغلالاً في المجموع - استعداداً لتجنيد الخوادم الضعيفة في جيشها. وعلى الرغم من أن الهجمات الحالية تبدو محدودة النطاق (مع أقل من 10,000 هدف مكشوف)، إلا أن نهج Frost المتخفي والموجه يشير إلى عصر جديد من شبكات البوتنت "الذكية"، القادرة على التهرب والتوسع السريع إذا ظهرت ثغرات جديدة.

الخلاصة: سباق مع الزمن

يسلط الاستغلال السريع لثغرات Sneeit Framework وICTBroadcast الضوء على حقيقة مقلقة: في مشهد التهديدات اليوم، يمكن أن يتلاشى الفارق بين الكشف والهجوم في غضون ساعات. وبينما يسارع المدافعون للتصحيح والتحقيق، يكون المهاجمون بالفعل متقدمين بخطوة - يؤتمتون، ويتكيفون، ويتطورون. بالنسبة لمديري المواقع، الرسالة واضحة: بادر بالتحديث مبكراً، راقب باستمرار، ولا تستهين أبداً بذكاء مجرمي الإنترنت.

مسرد المصطلحات (WIKICROOK)

تنفيذ التعليمات البرمجية عن بُعد (RCE): ثغرة تتيح للمهاجمين تشغيل تعليمات برمجية عشوائية على نظام بعيد، مما قد يمنحهم السيطرة الكاملة عليه.
قشرة PHP (PHP Shell): برنامج خبيث مكتوب بلغة PHP يمنح المهاجمين وصولاً لسطر الأوامر على الخادم المخترق.
هجوم حجب الخدمة الموزع (DDoS): هجوم يتم فيه إغراق الهدف بحركة مرور من عدة أنظمة مخترقة، مما يؤدي إلى تعطيل الخدمة.
Stager: برنامج صغير أو نص برمجي يُستخدم لتنزيل وتنفيذ حمولة خبيثة أكبر وأكثر تعقيداً.
.htaccess: ملف إعدادات لخوادم الويب Apache يتحكم في الوصول وسلوك الأدلة والملفات.