أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) يوم الإثنين عن إضافة ثلاث ثغرات أمنية جديدة إلى كتالوج الثغرات المستغلة فعلياً (KEV)، وذلك بعد ثبوت وجود استغلال نشط لها في بيئات حقيقية.
وتشمل القائمة الثغرات التالية:
-
CVE-2024-8068 (درجة CVSS: 5.1): ثغرة في إدارة الامتيازات ضمن ميزة Citrix Session Recording قد تسمح برفع الصلاحيات إلى حساب NetworkService إذا كان المهاجم مستخدماً مصادقاً ضمن نفس نطاق Active Directory المرتبط بخادم التسجيل.
-
CVE-2024-8069 (درجة CVSS: 5.1): ثغرة في آلية deserialization للبيانات غير الموثوقة داخل Citrix Session Recording، تتيح تنفيذ تعليمات برمجية عن بُعد بصلاحيات محدودة لحساب NetworkService إذا كان المهاجم مستخدماً موثقاً على نفس شبكة الإنترانت الخاصة بالخادم.
-
CVE-2025-48384 (درجة CVSS: 8.1): ثغرة في أداة Git ناجمة عن معالجة غير متسقة لمحرف Carriage Return (CR) داخل ملفات الإعدادات، ما يؤدي إلى إمكانية تنفيذ تعليمات برمجية عشوائية.
معالجة الثغرات والتفاصيل التقنية
كانت شركة Citrix قد أصدرت إصلاحات للثغرتين الأولى والثانية في نوفمبر 2024، بعد إبلاغ مسؤول من قبل باحثي watchTowr Labs في يوليو من العام نفسه. أما ثغرة Git (CVE-2025-48384) فقد تم إصلاحها في يوليو 2025 من قبل فريق المشروع، وتبعها نشر استغلال برمجي تجريبي (PoC) من قبل Datadog بعد الإفصاح العلني عنها.
ووفقاً لتوضيح شركة Arctic Wolf، فإن استغلال الثغرة الأخيرة يتم عبر إنشاء مسار فرعي يحتوي على محرف CR في نهايته، مما يؤدي إلى تهيئة الوحدة الفرعية في موقع غير مقصود. وعند دمج ذلك مع روابط رمزية (symlink) موجهة إلى مجلد hooks الخاص بالوحدة الفرعية، ووجود script تنفيذي لما بعد عملية checkout، يمكن أن يؤدي استنساخ المستودع إلى تنفيذ تعليمات برمجية ضارة.
التزامات الوكالات الفيدرالية
كعادتها، لم تكشف وكالة CISA عن تفاصيل إضافية حول الجهات التي تقف وراء الاستغلال الفعلي أو طبيعة الأنشطة المرتبطة بالثغرات. لكنها ألزمت الوكالات الفيدرالية الأميركية، وتحديداً الهيئات التنفيذية المدنية الفيدرالية (FCEB)، بتطبيق الإجراءات الأمنية اللازمة لسد هذه الثغرات قبل 15 سبتمبر 2025، لضمان حماية شبكاتها من التهديدات المستمرة.
