أصدر باحثو شركة GreyNoise تحذيرًا من ارتفاع حاد خلال يوم واحد في محاولات استغلال الثغرة الأمنية CVE-2021-43798 ضمن منصة Grafana مفتوحة المصدر، وهي ثغرة تسمح بقراءة ملفات النظام بشكل غير مصرح به من خلال هجوم من نوع Path Traversal.
موجة استغلال مفاجئة في يوم واحد
بحسب التقرير الصادر في 28 سبتمبر 2025، رصد الباحثون 110 عنوان IP خبيثًا فريدًا شارك في محاولات استغلال الثغرة خلال فترة لا تتجاوز 24 ساعة. وتوزعت هذه العناوين الجغرافية بين الصين وألمانيا وبنغلاديش كمصادر للهجوم، بينما استهدفت الهجمات أنظمة في الولايات المتحدة وسلوفاكيا وتايوان.
وأوضحت GreyNoise أن نمط الاستهداف المتطابق عبر الدول والأدوات يشير إلى وجود تنسيق مشترك أو استخدام حزمة استغلال واحدة من قبل عدة جهات تهديد مختلفة.
طبيعة الثغرة وخطرها الأمني
تُعد الثغرة CVE-2021-43798 واحدة من أبرز العيوب التي أصابت Grafana منذ ظهورها في ديسمبر 2021. وتكمن خطورتها في أنها تتيح للمهاجم قراءة أي ملف على الخادم المستهدف، بما في ذلك ملفات الإعدادات وبيانات الاعتماد الحساسة.
ورغم إصدار تحديث أمني لمعالجة الخلل منذ أكثر من ثلاث سنوات، فإن استمرار محاولات استغلالها حتى اليوم يُظهر أن العديد من المؤسسات لم تُحدّث بعد إصداراتها القديمة من Grafana، خصوصًا تلك التي تستخدمها لمراقبة البنية التحتية الداخلية أو لوحات البيانات التحليلية.
خلفيات عن Grafana وأهمية الثغرة
تُعد Grafana من أكثر أدوات المراقبة والتحليل شيوعًا في عالم تقنية المعلومات، حيث تُستخدم في مراكز البيانات، وشركات الخدمات السحابية، ومنصات DevOps لعرض مؤشرات الأداء والأنظمة في الوقت الفعلي. لذلك فإن أي ثغرة ضمنها تمنح المهاجم نافذة وصول إلى معلومات داخلية حساسة قد تُستغل لاحقًا في تنفيذ هجمات تصعيد الامتيازات أو التسلل المتقدم (APT).
ويُرجّح الخبراء أن النشاط الأخير قد يكون جزءًا من اختبارات تمهيدية لعمليات أكبر، أو ضمن حملات مسح واسعة النطاق تهدف إلى تحديد الأهداف الضعيفة قبل بيعها في أسواق الوصول غير المشروع.
قراءة تحليلية لنمط الهجوم
تشير GreyNoise إلى أن التقاطع في أساليب الاستغلال وتوقيت النشاط يعزز فرضيتين محتملتين:
-
أن جهة واحدة تتحكم ببنية تحتية موزّعة عبر عدة دول لتنفيذ عملياتها؛
-
أو أن عدة جهات تستخدم حزمة استغلال موحدة تم تداولها عبر منتديات القرصنة أو أسواق الأدوات الخبيثة.
وفي كلتا الحالتين، تعكس هذه الأنشطة درجة عالية من الاحتراف والتنسيق بين مجرمي الإنترنت، وتؤكد الحاجة إلى مراقبة مستمرة وتحديث دوري للأنظمة الحساسة مثل Grafana.
