أصدرت وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA) تحذيرًا جديدًا بإضافة خمس ثغرات أمنية خطيرة إلى كتالوج الثغرات المستغلة فعليًا (KEV)، مطالبة الوكالات الفيدرالية بضرورة سد هذه الثغرات قبل الثالث من أبريل 2026. وتشمل القائمة ثغرات في مكونات Apple، ونظام إدارة المحتوى Craft CMS، وإطار العمل Laravel Livewire، جميعها تم استغلالها بالفعل من قبل جهات تهديد متقدمة.
أبرز الثغرات المضافة إلى كتالوج KEV
- CVE-2025-31277 (درجة CVSS: 8.8): ثغرة في WebKit الخاص بـ Apple تؤدي إلى فساد الذاكرة عند معالجة محتوى ويب خبيث.
- CVE-2025-43510 (درجة CVSS: 7.8): ثغرة في مكون Kernel الخاص بـ Apple تسمح لتطبيق خبيث بالتلاعب بالذاكرة المشتركة بين العمليات.
- CVE-2025-43520 (درجة CVSS: 8.8): ثغرة أخرى في Kernel قد تؤدي إلى إنهاء النظام بشكل غير متوقع أو الكتابة في ذاكرة النواة.
- CVE-2025-32432 (درجة CVSS: 10.0): ثغرة حقن أكواد في Craft CMS تتيح تنفيذ أوامر عن بُعد.
- CVE-2025-54068 (درجة CVSS: 9.8): ثغرة في Laravel Livewire تسمح بتنفيذ أوامر عن بُعد دون مصادقة في سيناريوهات معينة.
استغلالات فعلية مرتبطة بالثغرات
الثغرات الثلاث الخاصة بـ Apple ارتبطت باستغلالات خطيرة عبر مجموعة أدوات هجومية تُعرف باسم DarkSword، والتي تستخدمها جهات تهديد لنشر برمجيات خبيثة مثل GHOSTBLADE وGHOSTKNIFE وGHOSTSABER بهدف سرقة البيانات.
أما ثغرة Craft CMS فقد استُغلت كـ Zero-Day منذ فبراير 2025، حيث رُصدت مجموعة تهديد تُعرف باسم Mimo (Hezb) وهي تستغلها لنشر برمجيات تعدين العملات الرقمية وبرمجيات Proxyware.
وفيما يتعلق بثغرة Laravel Livewire، فقد تم ربط استغلالها بمجموعة MuddyWater الإيرانية (المعروفة أيضًا باسم Boggy Serpens)، والتي تستهدف البنى التحتية الحيوية والدبلوماسية في الشرق الأوسط والعالم، مستخدمةً أدوات هجومية متطورة تشمل برمجيات مدعومة بالذكاء الاصطناعي وتقنيات مقاومة التحليل.
نشاط مجموعة MuddyWater وتطور أدواتها
أشارت تقارير Palo Alto Networks Unit 42 إلى أن المجموعة الإيرانية توسعت في قدراتها التقنية، حيث دمجت بين الهندسة الاجتماعية وأدوات هجومية حديثة مكتوبة بلغات مثل Rust، إضافة إلى منصات خاصة لأتمتة حملات البريد الإلكتروني واسعة النطاق.
من أبرز أساليبها:
- استخدام حسابات حكومية وشركات مخترقة لتنفيذ هجمات Spear-Phishing.
- استغلال العلاقات الموثوقة لتجاوز أنظمة الحماية القائمة على السمعة.
- نشر برمجيات مثل GhostBackDoor وNuso وUDPGangster وLampoRAT.
وقد نفذت المجموعة حملة مطولة ضد شركة وطنية للطاقة والبحرية في الإمارات بين أغسطس 2025 وفبراير 2026، تضمنت أربع موجات هجومية متتالية.
توصيات CISA للمؤسسات
طالبت الوكالة جميع الوكالات الفيدرالية بتطبيق التحديثات الأمنية قبل الموعد النهائي، مؤكدة أن هذه الثغرات تمثل تهديدًا مباشرًا للأمن القومي الرقمي. كما شددت على ضرورة مراقبة الأنظمة بحثًا عن مؤشرات استغلال، وتطبيق سياسات دفاعية تشمل:
- تحديث جميع الأنظمة المتأثرة بالإصدارات الموصى بها.
- مراقبة الشبكات لاكتشاف محاولات استغلال أو نشاط غير اعتيادي.
- تعزيز الوعي الأمني لمواجهة حملات الهندسة الاجتماعية المتزايدة.
