أعلنت وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA) عن إضافة أربع ثغرات أمنية جديدة إلى قائمة الثغرات المستغلة المعروفة (KEV)، وذلك بعد ثبوت استغلالها في هجمات فعلية. وتشمل هذه الثغرات منصات SimpleHelp، وخادم Samsung MagicINFO 9، إضافة إلى أجهزة التوجيه من سلسلة D-Link DIR-823X. وتأتي هذه الخطوة في إطار إلزام الوكالات الفيدرالية الأميركية بمعالجة هذه الثغرات قبل الموعد النهائي المحدد في مايو 2026، ما يعكس خطورة التهديدات المرتبطة بها.
تفاصيل الثغرات المضافة إلى القائمة
الثغرة الأولى CVE-2024-57726 تحمل تقييم خطورة مرتفع (9.9) وتتمثل في غياب آليات التحقق من الصلاحيات داخل منصة SimpleHelp، ما يسمح لمستخدمين منخفضي الامتياز بإنشاء مفاتيح API بامتيازات واسعة تمكنهم من التصعيد إلى دور مدير الخادم.
أما الثغرة الثانية CVE-2024-57728 (7.2) فهي ثغرة “اجتياز المسار” في SimpleHelp، تتيح للمستخدمين رفع ملفات إلى أي موقع في النظام عبر ملفات مضغوطة مصممة خصيصاً، الأمر الذي يفتح الباب أمام تنفيذ تعليمات برمجية خبيثة.
الثغرة الثالثة CVE-2024-7399 (8.8) مرتبطة بخادم Samsung MagicINFO 9، وتسمح للمهاجمين بكتابة ملفات عشوائية بسلطة النظام، وهو ما يمنحهم قدرة واسعة على التحكم بالخادم.
أما الثغرة الرابعة CVE-2025-29635 (7.5) فتتعلق بأجهزة التوجيه D-Link DIR-823X التي انتهى دعمها، حيث يمكن لمهاجم مصرح له تنفيذ أوامر عن بُعد عبر ثغرة حقن أوامر في وظيفة معينة.
خلفيات الاستغلال والارتباط بحملات خبيثة
رغم أن وكالة CISA صنفت ثغرات SimpleHelp تحت بند “غير معروف” فيما يتعلق باستخدامها في حملات الفدية، إلا أن تقارير من شركات أمنية مثل Field Effect وSophos أكدت أن هذه الثغرات استُغلت بالفعل كبوابة أولية لهجمات فدية، من بينها حملة نُسبت إلى مجموعة DragonForce.
أما ثغرة Samsung MagicINFO فقد ارتبطت سابقاً بنشاطات خبيثة هدفت إلى نشر شبكة Mirai الشهيرة، وهي شبكة من الأجهزة المصابة تُستخدم في شن هجمات الحرمان من الخدمة (DDoS).
وفيما يخص ثغرة D-Link، فقد كشفت شركة Akamai مؤخراً عن رصد محاولات استغلالها لنشر نسخة جديدة من شبكة Mirai تحمل اسم tuxnokill، ما يوضح استمرار المهاجمين في استغلال الأجهزة القديمة غير المدعومة.
أهمية إدراج الثغرات في قائمة KEV
إضافة هذه الثغرات إلى قائمة KEV لا يقتصر على الجانب التوعوي، بل يفرض التزاماً قانونياً على الوكالات الفيدرالية الأميركية بضرورة معالجة الثغرات قبل الموعد النهائي المحدد. هذا الإجراء يعكس استراتيجية شاملة لمواجهة التهديدات السيبرانية المتزايدة، خصوصاً تلك التي تستهدف البنية التحتية الحيوية أو الأجهزة واسعة الانتشار. كما أن إدراج أجهزة انتهى دعمها مثل D-Link يسلط الضوء على المخاطر المستمرة المرتبطة باستخدام تقنيات قديمة، ويؤكد الحاجة إلى تحديث الأنظمة بشكل دوري لتفادي استغلالها في حملات خبيثة واسعة النطاق.
