ثغرة حرجة: باب خلفي Telnet مدمج في راوتر D-Link DIR-600L A1 منتهي الدعم

◎مقدمة: تهديد حرج يطال أجهزة D-Link المنتشرة في المنازل والمكاتب الصغيرة

كشف باحثون في الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرّف CVE-2026-42375 بدرجة خطورة 9.8 (حرجة) وفقاً لمعيار CVSS v3.1، تؤثر على راوترات D-Link DIR-600L Hardware Revision A1 التي وصلت إلى نهاية دورة حياتها (End-of-Life). الثغرة عبارة عن باب خلفي Telnet مدمج (Hardcoded Backdoor) يمنح المهاجم على الشبكة المحلية صلاحيات الجذر (root) الكاملة دون الحاجة إلى أي مصادقة حقيقية.

هذه الثغرة مصنفة ضمن فئة CWE-798: Use of Hard-coded Credentials، وهي من أخطر أنواع الثغرات لأنها لا يمكن إصلاحها بتغيير كلمة المرور من قبل المستخدم، بل تتطلب تحديثاً في البرنامج الثابت (Firmware) — وهو ما لن يحدث لأن الجهاز منتهي الدعم رسمياً.

◎تفاصيل الثغرة التقنية

عند إقلاع الجهاز، يقوم راوتر D-Link DIR-600L A1 بتشغيل خدمة Telnet تلقائياً عبر السكربت /bin/telnetd.sh. هذه الخدمة تستخدم بيانات اعتماد مدمجة ثابتة في البرنامج الثابت:

• اسم المستخدم: Alphanetworks
• كلمة المرور: wrgn35_dlwbr_dir600l

يتم قراءة كلمة المرور من الملف /etc/alpha_config/image_sign، ويستخدم الجهاز نسخة مخصصة من telnetd تقبل العلم -u user:password، بينما تعتمد أداة login المخصصة على دالة strcmp() للتحقق من بيانات الاعتماد — وهي طريقة بدائية وغير آمنة.

كيف يتم استغلال الثغرة؟

سيناريو الهجوم بسيط للغاية وخطير في الوقت نفسه:

1. يتصل المهاجم بالشبكة المحلية (سواء عبر Wi-Fi أو Ethernet).
2. يقوم بفحص الشبكة للعثور على أجهزة DIR-600L (منفذ Telnet 23 مفتوح).
3. ينفذ أمر telnet <router-ip> ويستخدم بيانات الاعتماد المدمجة.
4. يحصل فوراً على صدفة جذر (root shell) مع تحكم إداري كامل.

بمجرد الحصول على صلاحيات الجذر، يمكن للمهاجم تنفيذ أي من العمليات التالية:

• اعتراض حركة المرور (Traffic Interception) وسرقة بيانات الاعتماد.
• تعديل إعدادات DNS لإعادة توجيه المستخدمين إلى مواقع تصيّد.
• تثبيت برمجيات خبيثة دائمة (Persistent Malware) مثل Mirai وMozi.
• استخدام الراوتر كنقطة انطلاق لمهاجمة الأجهزة الأخرى على الشبكة الداخلية.
• ضم الجهاز إلى شبكات Botnet لشن هجمات DDoS.

◎الأنظمة المتأثرة

الثغرة تؤثر تحديداً على:

• الطراز: D-Link DIR-600L
• الإصدار العتادي: Hardware Revision A1
• الحالة: منتهي الدعم (EOL) — لن يصدر تصحيح أمني

تجدر الإشارة إلى أن راوترات DIR-600L كانت منتشرة على نطاق واسع في المملكة العربية السعودية ودول الخليج خلال الفترة 2012-2018 كحلول منزلية وللمكاتب الصغيرة (SOHO)، ولا تزال كثير من الشركات الصغيرة والمتوسطة تستخدمها.

◎تقييم الخطورة (CVSS 9.8)

حصلت الثغرة على درجة 9.8 من 10، وهو تصنيف حرج، للأسباب التالية:

• سهولة الاستغلال (Attack Complexity: Low): لا يحتاج المهاجم إلى مهارات متقدمة.
• لا تتطلب مصادقة (Privileges Required: None): بيانات الاعتماد عامة ومنشورة.
• لا تتطلب تفاعل المستخدم (User Interaction: None).
• تأثير كامل على السرية والسلامة والتوافر (CIA Impact: High).

◎السياق المحلي: لماذا يهم مديري الأنظمة في السعودية؟

هيئة الاتصالات والفضاء والتقنية (CITC) والهيئة الوطنية للأمن السيبراني (NCA) تصنّفان البنية التحتية الشبكية ضمن الأصول الحساسة التي يجب حمايتها. استخدام أجهزة منتهية الدعم يعد مخالفة مباشرة للضوابط الأساسية للأمن السيبراني (ECC-1:2018) التي تفرض:

• الضابط 2-10: إدارة الأصول التقنية بما يضمن استبدال الأجهزة غير المدعومة.
• الضابط 2-3-3: حماية الشبكات من التهديدات الخارجية والداخلية.
• الضابط 2-5: إدارة الثغرات الأمنية والتحديثات.

في سياق شركات الاستضافة ومراكز البيانات السعودية (مثل تلك التابعة لـ STC وMobily وعلي بابا كلاود بالسعودية)، يجب التأكد من أن أجهزة الشبكة المستخدمة في البيئات الإدارية (Management Networks) ليست من الأجهزة منتهية الدعم.

◎خطوات عملية لمديري الأنظمة والاستضافة في السعودية

1. الإجراء الفوري: الاستبدال

لا يوجد حل برمجي لهذه الثغرة. التوصية الوحيدة هي استبدال الجهاز فوراً بموديل حديث مدعوم من D-Link أو علامة تجارية أخرى موثوقة (مثل MikroTik، Ubiquiti، أو Cisco للبيئات المؤسسية).

2. إجراءات تخفيف مؤقتة (حتى الاستبدال)

• عزل الجهاز: ضعه خلف جدار ناري (Firewall) يمنع الوصول إلى منفذ Telnet (TCP 23).
• تعطيل الوصول اللاسلكي للضيوف: تأكد من أن الشبكة اللاسلكية محمية بـ WPA2/WPA3 بكلمة مرور قوية.
• تقسيم الشبكة (Network Segmentation): ضع الراوتر في VLAN منفصل بعيداً عن الأصول الحساسة.
• مراقبة حركة المرور: فعّل تسجيل الأحداث وراقب أي محاولات اتصال عبر المنفذ 23.

3. جرد الأصول (Asset Inventory)

قم بإجراء مسح شامل للشبكة باستخدام أدوات مثل Nmap:

nmap -p 23 --open -sV 192.168.0.0/16

لتحديد جميع الأجهزة التي تعمل على Telnet، ثم افحصها يدوياً لتحديد الطراز.

4. التحقق من الاختراق (Compromise Assessment)

إذا كان لديك جهاز DIR-600L A1 يعمل حالياً، افترض أنه مخترق وقم بـ:

• فحص سجلات DNS بحثاً عن استعلامات غير معتادة.
• مراجعة أجهزة الشبكة المتصلة بحثاً عن أجهزة مجهولة.
• التحقق من إعدادات DNS في الراوتر (يجب أن تكون خوادم موثوقة مثل 8.8.8.8 أو خوادم STC).
• إعادة ضبط المصنع ثم الفصل الفوري قبل الاستبدال.

◎لماذا تنتشر ثغرات الأبواب الخلفية المدمجة؟

ثغرات CWE-798 شائعة في أجهزة IoT والراوترات المنزلية لأسباب عدة:

• بيانات اعتماد مخصصة للدعم الفني (Backdoor for support) لم يتم إزالتها قبل الإصدار التجاري.
• نقص في مراجعات الكود الأمنية قبل الإنتاج.
• ضغط تكاليف التصنيع على حساب الأمن.
• عدم وجود سياسة واضحة لدورة حياة المنتج الأمنية.

◎دور 4Jawaly في تعزيز الأمن السيبراني للعملاء

بصفتنا شركة سعودية مرخصة من هيئة الاتصالات والفضاء والتقنية (ترخيص 291-10-32) وحاصلة على شهادة ISO 27001 لأمن المعلومات، فإننا في 4Jawaly نولي أهمية قصوى لأمن البنية التحتية. خدمات الاستضافة لدينا تعمل على مراكز بيانات محلية داخل المملكة، مع أجهزة شبكية مؤسسية حديثة تخضع لتحديثات أمنية دورية.

نوصي جميع عملائنا من مديري تقنية المعلومات ومسؤولي الاستضافة بـ:

• الاشتراك في تنبيهات الثغرات من المركز الوطني الإرشادي للأمن السيبراني (NCA).
• إجراء تقييمات دورية للثغرات (Vulnerability Assessment) على البنية التحتية.
• اعتماد سياسة صارمة لاستبدال الأجهزة منتهية الدعم.
• استخدام حلول المصادقة متعددة العوامل (MFA) عبر خدمات OTP التي تقدمها 4Jawaly.

◎خلاصة وتوصيات نهائية

ثغرة CVE-2026-42375 تمثل تذكيراً صارخاً بخطورة الاعتماد على أجهزة شبكية منتهية الدعم. بيانات الاعتماد المدمجة (Alphanetworks / wrgn35_dlwbr_dir600l) أصبحت الآن عامة ومنشورة، وأي مهاجم يمكنه استغلالها خلال ثوانٍ للسيطرة الكاملة على الجهاز والشبكة المرتبطة به.

التوصية الذهبية: إذا كنت تمتلك راوتر D-Link DIR-600L A1، افصله من الكهرباء الآن واستبدله فوراً. لا تنتظر حتى يتم استغلاله — فالثغرة لن تُصلح أبداً.