أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة أمنية خطيرة تطال خادم Oracle WebLogic إلى قائمة الثغرات المستغلة المعروفة (KEV)، وذلك استناداً إلى أدلة موثقة تؤكد استغلالها الفعلي في الحوادث السيبرانية. ويعكس هذا التصنيف مستوى القلق الرفيع لدى السلطات الأمريكية إزاء التهديدات التي تستهدف البنى التحتية الحيوية.
ما هي الثغرة وما حجم خطورتها
الثغرة المسجلة تحت المعرف CVE-2024-21182 حصلت على درجة 7.5 من أصل 10 في مقياس CVSS، وهي تتيح لمهاجم غير مصادق عليه يمتلك وصولاً شبكياً بسيطاً السيطرة الكاملة على الخوادم المتضررة عبر بروتوكولي T3 وIIOP، وهما من بروتوكولات الاتصال الداخلية التي يعتمدها WebLogic للتواصل بين المكونات البرمجية الموزعة.
ووصفت CISA هذه الثغرة بأنها تنطوي على إمكانية الوصول غير المصرح به إلى بيانات حساسة أو حتى الاطلاع الكامل على جميع البيانات المتاحة للخادم. وما يزيد من خطورتها أنها لا تستلزم أي مصادقة مسبقة، مما يعني أن المهاجم لا يحتاج إلى حساب أو صلاحيات معتمدة للنفاذ إليها.
وكانت شركة أوراكل قد أصدرت تصحيحاً لهذه الثغرة في يوليو 2024 ضمن تحديثاتها الأمنية الدورية، غير أن كثيراً من المؤسسات والشركات لم تطبق هذه التحديثات حتى الآن، وهو ما يُبقيها في دائرة الخطر المباشر.
تاريخ مظلم لـ WebLogic مع الجهات التهديدية
لا تأتي هذه الثغرة في فراغ، إذ تمتلك منصة Oracle WebLogic سجلاً حافلاً بالاستغلال المتكرر من جانب جهات التهديد المختلفة. فعلى مدار السنوات الماضية، وظّف مجرمو الفضاء السيبراني ثغرات سابقة في هذه المنصة لتجنيد الخوادم في شبكات الروبوت (Botnets) وتحويلها إلى أدوات لشن هجمات موزعة، فيما استغلتها مجموعات أخرى لتعدين العملات المشفرة على حساب موارد الضحايا، وصولاً إلى نشر برامج الفدية التي تشفر البيانات وتطالب بمبالغ مالية لفك تشفيرها.
وفي أبريل 2026، كشفت تقارير عن استغلال مجموعة Storm-1175 المرتبطة بالصين لثغرة صفرية في WebLogic لنشر برامج ضارة، مما يدل على استمرار اهتمام الجهات الحكومية والإجرامية بهذا الهدف البالغ الحساسية.
والجدير بالذكر أن WebLogic يُعدّ من أبرز خوادم التطبيقات المؤسسية المبنية على منصة Java EE، وتعتمد عليه آلاف الشركات والجهات الحكومية حول العالم لتشغيل تطبيقاتها الحيوية، مما يجعله هدفاً بالغ الجاذبية لأي جهة تسعى إلى الوصول إلى بيانات قيّمة أو إحداث تأثير واسع النطاق.
تصعيد مستمر.. وثغرة بدرجة خطورة قصوى في الأفق
لم تكن CVE-2024-21182 الثغرة الوحيدة التي استأثرت باهتمام الباحثين مؤخراً في هذا الملف، ففي مارس 2026 كشفت شركة CloudSEK عن ثغرة مختلفة تماماً تحمل المعرف CVE-2026-21962، وحصلت على درجة خطورة قصوى بلغت 10 من 10 في مقياس CVSS، إذ رصد الباحثون محاولات استغلال آلي لها بعد وقت قصير من تسريب كود الاستغلال على الملأ.
هذا التسارع في وتيرة الاستغلال يكشف عن نمط متكرر: ما إن يصبح كود الاستغلال متاحاً للعموم حتى تنطلق الهجمات الآلية في غضون ساعات أو أيام، مما يضيّق النافذة الزمنية المتاحة للمؤسسات لتطبيق التصحيحات اللازمة.
مهلة فيدرالية حتى الرابع من يونيو
في ضوء تصاعد التهديدات، وجّهت CISA تحذيراً عاجلاً إلى الوكالات التنفيذية الفيدرالية المدنية (FCEB) يُلزمها بتطبيق التصحيحات اللازمة في موعد أقصاه الرابع من يونيو 2026، وهو ما يضع هذه الجهات تحت ضغط زمني حاد للتحرك الفوري قبل تفاقم الأضرار المحتملة.
وفي حين تسري هذه الإلزامية رسمياً على الجهات الفيدرالية الأمريكية، يُنصح بشكل موسع جميع المؤسسات التي تعتمد على Oracle WebLogic Server بمراجعة أنظمتها وتطبيق تحديث يوليو 2024 الأمني فوراً، لا سيما أن حجم الانتشار الواسع لهذا الخادم يجعل الحوادث الأمنية المرتبطة به ذات تداعيات بعيدة المدى.
