استغلال علني لسلسلة ثغرات في SAP يهدد الأنظمة غير المحدثة بتنفيذ تعليمات عن بُعد

استغلال علني لسلسلة ثغرات في SAP يهدد الأنظمة غير المحدثة بتنفيذ تعليمات عن بُعد
استغلال علني لسلسلة ثغرات في SAP يهدد الأنظمة غير المحدثة بتنفيذ تعليمات عن بُعد
شارك هذا الخبر

كشفت تقارير أمنية حديثة عن ظهور استغلال جديد في البرية يستهدف نظام SAP NetWeaver من خلال دمج ثغرتين بالغتي الخطورة، تم تصحيحهما سابقًا، لكنه لا يزال يهدد المؤسسات التي لم تطبق التحديثات الأمنية، مما يعرّضها لخطر الاختراق وسرقة البيانات.

تفاصيل الثغرات الأمنية

الاستغلال يجمع بين ثغرتين تم تتبعهما على النحو التالي:

  • CVE-2025-31324 (درجة CVSS: 10.0) – غياب فحص التفويض في خادم تطوير Visual Composer الخاص بـ SAP.

  • CVE-2025-42999 (درجة CVSS: 9.1) – ثغرة عدم الأمان في عملية Insecure Deserialization في الخادم نفسه.

وعلى الرغم من قيام شركة SAP بإصدار التحديثات في أبريل ومايو 2025، فإن جهات التهديد كانت قد استغلت الثغرات كـ “صفرية اليوم” منذ مارس من العام نفسه.

استغلال جماعات الفدية والاستخبارات السيبرانية

رُصدت عدة جماعات فدية وابتزاز بيانات مثل Qilin وBianLian وRansomExx وهي تستغل هذه الثغرات، إلى جانب مجموعات تجسس سيبراني مرتبطة بالصين استهدفت شبكات البنية التحتية الحرجة. وأفاد باحثو vx-underground أن الاستغلال نُشر عبر تحالف جديد يُعرف باسم Scattered Lapsus$ Hunters الذي يضم مجموعتي Scattered Spider وShinyHunters.

آلية الهجوم والسيطرة الكاملة

وفقًا لشركة Onapsis، تسمح هذه الثغرات بتنفيذ أوامر عشوائية على أنظمة SAP دون الحاجة للمصادقة، بما في ذلك رفع ملفات ضارة تؤدي إلى تنفيذ تعليمات عن بُعد (RCE) والاستحواذ الكامل على البيانات والعمليات التجارية. ولا يقتصر الاستغلال على رفع web shells بل يمكن استخدامه لتنفيذ هجمات Living-off-the-Land (LotL) مباشرة عبر أوامر نظام التشغيل، والتي تُنفذ بامتيازات مدير SAP، مما يمنح المهاجمين وصولًا غير مصرح به إلى موارد النظام.

وتتمثل آلية السلسلة في استغلال الثغرة الأولى CVE-2025-31324 لتجاوز المصادقة ورفع الحمولة الخبيثة، ثم استخدام CVE-2025-42999 لفكها وتنفيذها بصلاحيات مرتفعة. وأعربت Onapsis عن قلق خاص من نشر “أداة تسلسل عكسي” يمكن إعادة استخدامها في سياقات أخرى، بما في ذلك استغلال ثغرات جديدة تم تصحيحها في يوليو 2025.

ثغرات إضافية مرتبطة بتقييم مخاطر الهوية

تشمل قائمة الثغرات ذات الصلة:

  • CVE-2025-30012 (درجة CVSS: 10.0)

  • CVE-2025-42963 (درجة CVSS: 9.1)

  • CVE-2025-42964 (درجة CVSS: 9.1)

  • CVE-2025-42966 (درجة CVSS: 9.1)

  • CVE-2025-42980 (درجة CVSS: 9.1)

وحذرت الشركة من أن الجهات المهاجمة تتمتع بخبرة واسعة في تطبيقات SAP، داعية المؤسسات إلى الإسراع في تثبيت التحديثات الأخيرة، وتقييد الوصول إلى التطبيقات عبر الإنترنت، ومراقبة أي مؤشرات تدل على اختراق الأنظمة.

وسوم
محمد وهبى
محمد وهبى
المقالات: 441

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة