كشف باحثون في مجال الأمن السيبراني عن ثغرة خطيرة يجري استغلالها بنشاط في البرية ضد خوادم ICTBroadcast، وهو برنامج اتصال آلي (autodialer) تابع لشركة ICT Innovations، تتيح للمهاجمين تنفيذ أوامر عن بُعد دون الحاجة إلى تسجيل دخول.
ثغرة CVE-2025-2611: حقن أوامر في ملف الكوكيز يمنح تحكمًا كاملاً في الخادم
تحمل الثغرة رقم CVE-2025-2611 بدرجة خطورة 9.3 على مقياس CVSS، وتنشأ بسبب ضعف التحقق من إدخال البيانات (Improper Input Validation) داخل التطبيق، إذ يقوم النظام بتمرير بيانات ملفات الكوكيز إلى أوامر النظام دون تأمين كافٍ.
وبحسب تقرير صادر عن شركة VulnCheck، فإن الثغرة تُمكّن المهاجم من حقن أوامر نظام (Shell Commands) داخل ملف كوكيز يُعرف باسم BROADCAST، ليتم تنفيذها مباشرة على الخادم المستهدف. وتؤثر الثغرة على جميع إصدارات ICTBroadcast حتى الإصدار 7.4.
وقال الباحث الأمني جاكوب باينز من VulnCheck إن “المهاجمين يستغلون ثغرة حقن الأوامر في ICTBroadcast عبر كوكي BROADCAST للحصول على تنفيذ أوامر عن بُعد”، مشيرًا إلى أن نحو 200 خادم متصل بالإنترنت معرضون حاليًا للهجوم.
مراحل الهجوم: من اختبار الاستغلال إلى إنشاء اتصال عكسي
رُصدت الهجمات الأولى في 11 أكتوبر، حيث لاحظ الباحثون أنها تسير على مرحلتين: الأولى تتضمن اختبار الاستغلال باستخدام أوامر مؤقتة (مثل “sleep 3”)، والثانية تهدف إلى إنشاء اتصال عكسي (Reverse Shell) يمنح المهاجم تحكمًا كاملاً بالخادم.
واستخدم المهاجمون حمولة مشفرة بتقنية Base64 تتضمن أوامر من نوع mkfifo + nc للاتصال بعنوان localto[.]net، إلى جانب عناوين IP أخرى مثل 143.47.53[.]106. وأشار باينز إلى أن هذه العناوين سبق أن حددتها شركة Fortinet في حملة بريد إلكتروني خبيثة كانت توزع حصان طروادة للتحكم عن بُعد (Ratty RAT) يستهدف مؤسسات في إسبانيا وإيطاليا والبرتغال.
مؤشرات على استخدام أدوات أو بنى تحتية مشتركة
أوضحت شركة VulnCheck أن تداخل المؤشرات التقنية (IOCs) بين هذه الحملة والهجمات السابقة التي استخدمت Ratty RAT يشير إلى احتمال إعادة استخدام الأدوات أو البنية التحتية من قِبل جهة تهديد واحدة أو متعاونة.
ولم تُصدر شركة ICT Innovations حتى الآن أي تعليق رسمي حول حالة التصحيح الأمني للثغرة أو موعد إطلاق تحديث لمعالجتها، فيما حذر الباحثون المستخدمين من إبقاء الخوادم متصلة بالإنترنت دون إجراءات حماية إضافية.
