تحذير من CISA بشأن ثغرات تنفيذ أكواد عن بُعد في SiteCore.. واستغلال نشط لثغرات في Next.js وأجهزة DrayTek

تحذير من CISA بشأن ثغرات تنفيذ أكواد عن بُعد في SiteCore.. واستغلال نشط لثغرات في Next.js وأجهزة DrayTek
تحذير من CISA بشأن ثغرات تنفيذ أكواد عن بُعد في SiteCore.. واستغلال نشط لثغرات في Next.js وأجهزة DrayTek
شارك هذا الخبر

أدرجت وكالة الأمن السيبراني الأمريكية (CISA) ثغرتين أمنيتين قديمتين في نظام SiteCore CMS ومنصة Experience Platform (XP) ضمن قائمة الثغرات المُستغَلة فعلياً (KEV)، بعد رصد أدلة على استغلالهما في هجمات حقيقية.

الثغرات المبلغ عنها في SiteCore

  1. CVE-2019-9874 (درجة خطورة: 9.8/10)
    • نوعها: ثغرة إلغاء التسلسل (Deserialization) في وحدة Sitecore.Security.AntiCSRF.
    • التأثير: تسمح لمهاجم غير مصرح له بتنفيذ أكواد خبيثة عن طريق حقن كائن .NET مُسلسل في معلمة HTTP __CSRFTOKEN.
  2. CVE-2019-9875 (درجة خطورة: 8.8/10)
    • نفس نوع الثغرة ولكنها تتطلب مصادقة مستخدم أولية.
    • يمكن استغلالها لتنفيذ أوامر عن بُعد من قبل مهاجم مصرح له.

⚠️ ملاحظة: أعلنت SiteCore في 2020 عن رصد استغلال لـ CVE-2019-9874، لكن لم يُذكر شيء عن CVE-2019-9875.

إجراءات طارئة

  • طالبت CISA الوكالات الفيدرالية بتطبيق التحديثات الأمنية قبل 16 أبريل 2025.
  • لم تُكشف بعد تفاصيل حول الجهات الخبيثة التي تستغل هذه الثغرات.

هجمات نشطة تستهدف Next.js وأجهزة DrayTek

1. ثغرة في Next.js (CVE‑2025‑29927)

  • درجة الخطورة: 9.1/10
  • النوع: تجاوز صلاحيات (Authorization Bypass) عبر تزوير هيدر x‑middleware‑subrequest.
  • التأثير: تمكّن المهاجم من تجاوز ضوابط الأمان والوصول إلى موارد حساسة.
  • طريقة الهجوم:
    • يتم استخدام هيدر مكرر مثل src/middleware:src/middleware... لمحاكاة طلبات داخلية متعددة.
    • رصدت Akamai محاولات استغلال أولية لهذه الثغرة.

2. استغلال ثغرات في أجهزة DrayTek

حذرت GreyNoise من هجمات نشطة تستهدف الثغرات التالية:

  • CVE-2020-8515 (9.8/10): ثغرة حقن أوامر نظام في راوترات DrayTek تسمح بتنفيذ أكواد كـ root.
  • CVE-2021-20123 و CVE-2021-20124 (7.5/10): ثغرات احتواء ملفات محلية (LFI) في برنامج VigorConnect تتيح تنزيل ملفات حساسة.

🌍 أبرز الدول المستهدفة:

  • CVE-2020-8515: إندونيسيا، هونغ كونغ، والولايات المتحدة.
  • الثغرات الأخرى: ليتوانيا، الولايات المتحدة، وسنغافورة.

توصيات أمنية عاجلة

  1. تحديث الأنظمة:
    • تطبيق آخر تصحيحات SiteCore وNext.js وDrayTek.
  2. مراقبة الشبكات:
    • البحث عن أنشطة مشبوهة تستخدم الهيدرات المذكورة أو طلبات غير معتادة لـ cgi-bin/mainfunction.cgi.
  3. تقييد الوصول:
    • تعزيز سياسات المصادقة وتفعيل جدران الحماية.
وسوم
محمد طاهر
محمد طاهر
المقالات: 134

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة