كشف باحثون في مجال الأمن السيبراني عن ثغرتين أمنيتين تم إصلاحهما مؤخرًا في واجهة المستخدم الرسومية SAP GUI لأنظمة Windows وJava، كان من الممكن استغلالهما للوصول إلى بيانات حساسة تحت ظروف معينة.
ثغرتان في SAP GUI تكشفان بيانات حساسة
الثغرتان المعنيتان، المسجلتان تحت المعرفين CVE-2025-0055 وCVE-2025-0056 (بدرجة خطورة CVSS: 6.0)، تم تصحيحهما ضمن تحديثات شركة SAP في يناير 2025.
وأوضح الباحث جوناثان ستروس من شركة Pathlock أن سجل إدخالات المستخدم في SAP GUI يتم تخزينه بطريقة غير آمنة في نسختي Java وWindows، ما يعرض معلومات مثل:
-
أسماء المستخدمين
-
أرقام الهوية الوطنية
-
أرقام الضمان الاجتماعي
-
أرقام الحسابات البنكية
-
أسماء الجداول الداخلية في SAP
تفاصيل تقنية
-
في SAP GUI لـ Windows، يتم تخزين السجل في ملف قاعدة بيانات في المسار:
php-templateCopyEdit
%APPDATA%\LocalLow\SAPGUI\Cache\History\SAPHistory<WINUSER>.dbمع استخدام تشفير XOR ضعيف، مما يجعل من السهل فك تشفيره.
-
في SAP GUI لـ Java، يتم تخزين البيانات دون تشفير على شكل كائنات Java متسلسلة.
“أي شخص لديه وصول إلى الجهاز يمكنه استخراج هذه المعلومات الحساسة من الملفات المحلية، مما يجعلها هدفًا لهجمات مثل حقن HID (كأداة Rubber Ducky) أو هجمات التصيّد.” – ستروس
كما حذرت Pathlock من أن هذه الثغرات شكلت الأساس لثغرة ثالثة مرتبطة بـ SAP NetWeaver (CVE-2025-0059) لم يتم تصحيحها حتى الآن.
الإجراء الموصى به:
تعطيل ميزة سجل الإدخال، وحذف الملفات المحتوية على البيانات التاريخية من المسارات المذكورة لتقليل خطر التسريب.
ثغرة “Citrix Bleed 2”: تهديد جديد عالي الخطورة
في تطور موازٍ، أصدرت شركة Citrix تحديثًا أمنيًا لمعالجة ثغرة خطيرة في NetScaler، المعروفة باسم CVE-2025-5777 (بدرجة خطورة CVSS: 9.3).
هذه الثغرة، التي أطلق عليها الباحث الأمني كيفن بومونت اسم Citrix Bleed 2، تشبه إلى حد كبير ثغرة CVE-2023-4966 التي تم استغلالها بنشاط في 2023، حيث تسمح لمهاجمين غير مصرح لهم بسرقة رموز جلسات صالحة من الذاكرة عبر طلبات مشوهة.
لكنها تعمل فقط عندما يكون NetScaler مُهيئًا كـ بوابة Gateway أو خادم AAA افتراضي.
النسخ المتأثرة والمصححة:
-
NetScaler ADC و Gateway الإصدار 14.1-43.56 وما بعده
-
NetScaler ADC و Gateway الإصدار 13.1-58.32 وما بعده
-
الإصدارات الخاصة بالأمان (FIPS/NDcPP) من 13.1-37.235 وما بعده
-
NetScaler ADC 12.1-FIPS من الإصدار 12.1-55.328 وما بعده
وتتأثر أيضًا البيئات المحلية والهجينة التي تستخدم NetScaler في حلول الوصول الآمن الخاص (Secure Private Access).
الإجراء الموصى به:
بعد التحديث، توصي Citrix بتنفيذ الأوامر التالية لإنهاء جميع الجلسات النشطة، كما نصحت المستخدمين بترقية الإصدارات 12.1 و13.0 إلى نسخ مدعومة، حيث لم تعد هذه الإصدارات مدعومة رسميًا.
تحذير من استغلال وشيك
رغم عدم وجود دلائل على استغلال الثغرة حتى الآن، حذر بنجامين هاريس، الرئيس التنفيذي لشركة WatchTowr، من أن الثغرة:
“تستوفي جميع شروط الجاذبية بالنسبة للمهاجمين، وقد تكون بداية موجة استغلال جديدة على غرار ما حدث مع CitrixBleed في 2023.”
وأضاف أن وصف الثغرة في قاعدة بيانات الثغرات NVD قد تغيّر مؤخرًا بطريقة تقلل من القيود المبدئية، ما يشير إلى أنها أكثر خطورة مما تم الإبلاغ عنه أولاً.
