الوسم: أجهزة التوجيه

◎مقدمة: ثغرة حرجة تهدد أجهزة D-Link DIR-456U في الشبكات السعودية

كشف باحثون في الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرف CVE-2026-42376 وتُصنّف بدرجة 9.8 (حرجة) على مقياس CVSS v3.1، تؤثر على أجهزة التوجيه (Routers) من طراز D-Link DIR-456U الإصدار A1. الثغرة عبارة عن باب خلفي (Backdoor) مُضمّن في البرنامج الثابت (Firmware) للجهاز عبر خدمة Telnet، مع بيانات اعتماد (Credentials) ثابتة ومشفّرة مسبقاً داخل ملفات النظام، مما يمنح المهاجم صلاحيات الجذر (root) الكاملة دون الحاجة إلى أي تفاعل من المستخدم.

الأخطر من ذلك أن الجهاز وصل إلى نهاية دورة حياته (End-of-Life) ولن تصدر له الشركة المُصنِّعة أي تحديثات أمنية، مما يجعل جميع الأجهزة العاملة حالياً في الشبكات السعودية والخليجية معرضة بشكل دائم للاختراق ما لم يتم استبدالها أو عزلها فوراً.

◎تفاصيل الثغرة التقنية CVE-2026-42376

تكمن الثغرة في وجود خدمة Telnet daemon يتم تشغيلها تلقائياً عند إقلاع الجهاز من خلال سكريبت التهيئة /etc/init0.d/S80telnetd.sh. يقوم هذا السكريبت بتشغيل نسخة مُعدَّلة من خدمة telnetd تستخدم بيانات دخول ثابتة:

• اسم المستخدم: Alphanetworks
• كلمة المرور الثابتة: whdrv01_dlob_dir456U (يتم قراءتها من الملف /etc/config/image_sign)

تستخدم النسخة المُخصصة من ثنائي telnetd خياراً غير موثّق هو -u user:password لتمرير بيانات الاعتماد، بينما يعتمد ثنائي login المُعدّل على دالة strcmp() البسيطة للتحقق من صحة بيانات الدخول. هذه التصميمة تمثل انتهاكاً صريحاً لمبادئ الأمن السيبراني وتندرج تحت التصنيف CWE-798: استخدام بيانات اعتماد مشفّرة مسبقاً (Use of Hard-coded Credentials).

سيناريو الاستغلال

بمجرد أن يتمكن المهاجم من الوصول إلى الشبكة المحلية التي يتصل بها الجهاز (سواء عبر Wi-Fi أو اتصال سلكي)، يستطيع تنفيذ الأوامر التالية للحصول على صلاحيات جذر كاملة:

telnet <IP-of-DIR-456U> 23
login: Alphanetworks
password: whdrv01_dlob_dir456U
◎(root shell granted)بعد الحصول على صلاحيات الجذر، يمكن للمهاجم:اعتراض جميع حركة المرور (Traffic) المارة عبر الراوتر بما فيها كلمات المرور وبيانات الخدمات المصرفية.تعديل إعدادات DNS لإعادة توجيه المستخدمين إلى مواقع تصيّد احتيالي.زرع برمجيات خبيثة دائمة (Persistent Malware) داخل البرنامج الثابت.استخدام الجهاز كنقطة انطلاق (Pivot Point) لمهاجمة باقي أجهزة الشبكة الداخلية.ضم الجهاز إلى شبكات البوت نت (Botnets) مثل Mirai و Mozi.الأنظمة والأجهزة المتأثرة
تؤثر الثغرة بشكل مؤكد على:
D-Link DIR-456U Hardware Revision A1 — جميع إصدارات البرنامج الثابت.
الأجهزة التي وصلت إلى حالة نهاية الدعم (EOL) ولن تتلقى أي تصحيحات.
من المرجح أيضاً أن تكون نماذج مشابهة من نفس العائلة (التي تعتمد على نفس البرنامج الثابت المُصنَّع من Alphanetworks) تحمل ثغرات مماثلة، ويُنصح بفحصها جميعاً.
◎السياق المحلي: لماذا يجب على مدراء الأنظمة في السعودية أخذ هذه الثغرة على محمل الجد؟
وفقاً لتقارير هيئة الاتصالات وتقنية المعلومات (CITC) والهيئة الوطنية للأمن السيبراني (NCA)، تُعدّ أجهزة التوجيه المنزلية والمكتبية من أكثر نقاط الضعف استهدافاً في المملكة العربية السعودية ودول الخليج. العديد من الشركات الصغيرة والمتوسطة، وكذلك المكاتب الفرعية للشركات الكبرى، تعتمد على أجهزة D-Link بسبب توفرها وانخفاض تكلفتها.
كما أن الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة عن NCA تفرض على الجهات الحكومية وشبه الحكومية استبدال الأجهزة التي وصلت لنهاية دعمها فوراً، وتعتبر وجود أجهزة غير مدعومة في الشبكة مخالفة صريحة للضابط 2-3-3 الخاص بإدارة التحديثات والتصحيحات.
مخاطر خاصة بقطاع الاستضافة والمزودين المحليين
إذا كنت تعمل لدى مزود استضافة سعودي أو مركز بيانات محلي، فإن استخدام أي جهاز DIR-456U في شبكات الإدارة خارج النطاق (Out-of-Band Management) أو كحل احتياطي يُعدّ كارثة أمنية قد تؤدي إلى:
انتهاك متطلبات ISO 27001 الخاصة بإدارة الأصول.
مخالفة سياسة حماية البيانات الشخصية (PDPL) السعودية في حال تسرّب بيانات العملاء.
فقدان ترخيص CITC في حالة ثبوت الإهمال في حماية البنية التحتية.
◎الإجراءات التصحيحية العاجلة لمدراء الأنظمة السعوديين
أولاً: الإجراءات الفورية (خلال 24 ساعة)
جرد شامل: قم بفحص جميع أجهزة التوجيه في منشأتك وتحديد أي جهاز DIR-456U A1 باستخدام أدوات مثل nmap أو Shodan للشبكات الداخلية.
عزل الأجهزة المصابة: إذا كان الاستبدال غير ممكن فوراً، اعزل الجهاز في VLAN منفصل بدون وصول إلى الإنترنت أو البيانات الحساسة.
تعطيل Telnet من الشبكة: قم بحظر المنفذ TCP/23 على جميع الجدران النارية (Firewalls) لمنع أي وصول خارجي.
مراقبة حركة المرور: فعّل تسجيل حركة المرور على المنفذ 23 واستخدم أنظمة IDS/IPS مثل Suricata للكشف عن محاولات الاستغلال.
ثانياً: الحل الجذري (خلال أسبوع)
الاستبدال الكامل: الحل الوحيد الفعلي هو استبدال الجهاز بأحد البدائل المدعومة مثل MikroTik أو Cisco أو Ubiquiti أو D-Link من الطرازات الحديثة المدعومة.
التحقق من سلامة الشبكة: افحص الأجهزة المتصلة بالراوتر المصاب للتأكد من عدم تعرضها للاختراق، خاصة فحص DNS settings على أجهزة المستخدمين.
تغيير جميع كلمات المرور: إذا مرت بيانات حساسة عبر الجهاز المصاب، غيّر جميع كلمات المرور للخدمات الداخلية والسحابية.
ثالثاً: التوعية والتوثيق
وثّق الحادثة ضمن سجل إدارة الحوادث وفقاً لضوابط NCA.
أبلغ عن أي محاولة استغلال عبر المركز الوطني الإرشادي للأمن السيبراني.
درّب فريقك على أهمية التحقق من حالة EOL لكل جهاز شبكي قبل الشراء.
◎كيف يمكن لـ 4Jawaly مساعدتك؟
في ظل هذه التهديدات المتصاعدة، توفر فورجوالي (4Jawaly) — الشركة السعودية الحاصلة على ترخيص CITC رقم 291-10-32 وشهادة ISO 27001 — حلول استضافة آمنة في مراكز بيانات محلية تتبع أحدث معايير الأمن السيبراني، بعيداً عن مخاطر الأجهزة منتهية الدعم. كما يمكنك استخدام خدمات SMS وWhatsApp Business API من 4Jawaly لإرسال تنبيهات أمنية فورية لفريق الاستجابة عند رصد أي نشاط مشبوه على شبكتك.
◎كشف الاختراق: مؤشرات التسلل (IoCs)
راقب المؤشرات التالية التي قد تدل على استغلال نشط للثغرة:
اتصالات Telnet واردة من عناوين IP غير معروفة على المنفذ 23.
وجود عمليات غير متوقعة بصلاحيات root في سجلات الجهاز.
تعديلات غير مصرح بها في ملف /etc/config/image_sign.
تغيير إعدادات DNS إلى خوادم غير مألوفة.
ارتفاع غير مبرر في استهلاك النطاق الترددي الصادر.
◎خاتمة: الدرس المستفاد
تؤكد ثغرة CVE-2026-42376 حقيقة مريرة: الأجهزة منتهية الدعم هي قنابل موقوتة في شبكتك. لا يوجد تصحيح، ولا بديل سوى الاستبدال الفوري. على جميع مدراء الأنظمة في المملكة العربية السعودية ودول الخليج اعتماد سياسة صارمة لإدارة دورة حياة الأجهزة (Asset Lifecycle Management) تتضمن متابعة تواريخ EOL ووضع ميزانيات استبدال سنوية. الأمن السيبراني ليس ترفاً بل ضرورة قانونية وتشغيلية في عصر التحول الرقمي الذي تقوده رؤية المملكة 2030.