أجهزة الشبكات – فورجوالي | رسائل نصية وواتساب واستضافة

◎مقدمة: تهديد خطير يمس أجهزة التوجيه المنزلية والمكتبية في المملكة

كشف باحثو الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرّف CVE-2026-42373 بدرجة CVSS تصل إلى 9.8 (حرجة)، تصيب أجهزة التوجيه من نوع D-Link DIR-605L Hardware Revision B2. تكمن خطورة هذه الثغرة في وجود باب خلفي (Backdoor) مضمّن داخل البرنامج الثابت (Firmware) للجهاز، يسمح لأي مهاجم متصل بالشبكة المحلية بالحصول على صلاحيات الجذر (Root) الكاملة دون الحاجة إلى اختراق أو تخمين كلمات المرور الخاصة بالمستخدم.

الأخطر من ذلك أن هذا الطراز قد وصل إلى مرحلة نهاية الدعم الفني (End-of-Life – EOL)، ما يعني أن الشركة المصنّعة لن تُصدر أي تحديثات أمنية لمعالجة هذه الثغرة، وهو ما يجعل ملايين الأجهزة المنتشرة حول العالم – بما فيها المملكة العربية السعودية ودول الخليج – أهدافاً سهلة للمهاجمين.

◎تفاصيل الثغرة التقنية

أوضح التحليل الفني أن البرنامج الثابت لجهاز D-Link DIR-605L B2 يحتوي على سكربت تمهيد (Boot Script) باسم /bin/telnetd.sh يقوم تلقائياً عند إقلاع الجهاز بتشغيل خدمة telnet daemon بصلاحيات مرتفعة. وتقوم هذه الخدمة بقراءة بيانات الاعتماد من ملف ثابت داخل نظام الملفات:

اسم المستخدم: Alphanetworks
كلمة المرور الثابتة: wrgn76_dlwbr_dir605L
مسار ملف بيانات الاعتماد: /etc/alpha_config/image_sign

يستخدم الجهاز نسخة مخصّصة من ثنائي telnetd يقبل معامل -u user:password، بينما تستخدم النسخة المخصّصة من ثنائي login دالة strcmp() للتحقق من صحة بيانات الدخول. وبمجرد نجاح المصادقة، يحصل المهاجم على غلاف جذر (Root Shell) بصلاحيات إدارية كاملة على الجهاز.

◎تصنيف الثغرة ضمن معايير CWE

مسؤول تقنية سعودي يفحص راوتر D-Link DIR-605L مع قفل وتحذير ثغرة Telnet

تندرج هذه الثغرة تحت التصنيف CWE-798: Use of Hard-coded Credentials (استخدام بيانات اعتماد مضمّنة بشكل ثابت)، وهو من أخطر التصنيفات الأمنية لأنه:

لا يمكن للمستخدم النهائي تغيير هذه البيانات أو إزالتها.
يمكن استخراجها بسهولة من صورة البرنامج الثابت باستخدام أدوات الهندسة العكسية.
تكون هذه البيانات عادةً متطابقة على جميع الأجهزة من نفس الطراز، ما يعني أن اكتشاف كلمة مرور واحدة يكشف ملايين الأجهزة.

◎الأنظمة المتأثرة

تشمل الأجهزة المعرّضة للخطر ما يلي:

D-Link DIR-605L Hardware Revision B2 – جميع إصدارات البرنامج الثابت.
الجهاز وصل إلى مرحلة نهاية الدعم (EOL) ولن يتلقى أي تحديثات أمنية مستقبلية من الشركة المصنّعة.

تجدر الإشارة إلى أن هذا الطراز كان من الأكثر انتشاراً في الأسواق العربية خلال السنوات الماضية، وقد يكون لا يزال مستخدماً في المنازل، المكاتب الصغيرة والمتوسطة، وبعض الفروع البعيدة للشركات والمؤسسات في المملكة ودول الخليج.

◎سيناريو الاستغلال وخطورته

رسم يوضح مخاطر ثغرة D-Link DIR-605L مع قفل رقمي وتنبيه أمني

يستطيع المهاجم استغلال هذه الثغرة عبر الخطوات التالية:

الاتصال بالشبكة المحلية التي يتواجد فيها الجهاز (سواء عبر Wi-Fi أو شبكة سلكية).
إجراء مسح للشبكة لتحديد عنوان IP الخاص بالراوتر والمنافذ المفتوحة (خاصةً منفذ 23 – Telnet).
الاتصال بخدمة Telnet باستخدام بيانات الاعتماد المضمّنة.
الحصول فوراً على صلاحيات Root كاملة.

الآثار المحتملة لنجاح الاستغلال تشمل:

اعتراض وتعديل حركة مرور الشبكة بالكامل (Man-in-the-Middle).
سرقة بيانات الاعتماد الخاصة بالبنوك، البريد الإلكتروني، وحسابات العمل.
تحويل الراوتر إلى عقدة ضمن شبكة Botnet لتنفيذ هجمات DDoS.
استخدام الجهاز كنقطة انطلاق لاختراق أجهزة أخرى داخل الشبكة الداخلية.
تعديل إعدادات DNS لتوجيه المستخدمين إلى مواقع تصيّد احتيالي.
زرع برمجيات خبيثة دائمة في البرنامج الثابت يصعب اكتشافها وإزالتها.

◎السياق المحلي: لماذا يجب على مسؤولي الأنظمة في المملكة الاهتمام؟

تولي هيئة الاتصالات والفضاء والتقنية (CST) – المعروفة سابقاً بهيئة الاتصالات وتقنية المعلومات (CITC) – اهتماماً كبيراً بأمن الأجهزة المتصلة بالشبكات في المملكة، في ظل رؤية 2030 والتحول الرقمي الشامل. كما تُصدر الهيئة الوطنية للأمن السيبراني (NCA) باستمرار توجيهات وضوابط تلزم الجهات الحكومية والقطاعات الحيوية بتطبيق أفضل الممارسات الأمنية.

إن استخدام أجهزة منتهية الدعم الفني مثل D-Link DIR-605L B2 يُعدّ مخالفة صريحة لعدة ضوابط من الضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن NCA، خاصةً ما يتعلق بـ:

ضابط إدارة الأصول التقنية (ECC-2-1).
ضابط إدارة الثغرات (ECC-2-10).
ضابط حماية الشبكات (ECC-2-5).

كما أن شركات الاستضافة السعودية والمزودين المحليين لخدمات الإنترنت يجب أن يحذّروا عملاءهم من استخدام هذه الأجهزة، خاصةً في البيئات التي تتعامل مع بيانات حساسة أو مدفوعات إلكترونية.

◎خطوات عملية لمسؤولي الأنظمة في المملكة ودول الخليج

1. الاستبدال الفوري للأجهزة المتأثرة

مسؤول تقنية سعودي يفحص ثغرة D-Link DIR-605L مع راوتر مقيد وتنبيه أمني

الحل الوحيد الجذري لهذه الثغرة هو استبدال الجهاز بالكامل بطراز حديث يتلقى تحديثات أمنية منتظمة. يُنصح باختيار أجهزة من شركات موثوقة تدعم معايير الأمان الحديثة مثل WPA3 وتلتزم بتحديثات البرنامج الثابت لسنوات عديدة.

2. إجراءات تخفيف مؤقتة (إذا تعذّر الاستبدال الفوري)

عزل الجهاز في شبكة VLAN منفصلة بعيداً عن الأنظمة الحساسة.
تعطيل منفذ Telnet (23) عبر جدار الحماية الخارجي إن أمكن.
تفعيل فلترة عناوين MAC للحدّ من الأجهزة التي يمكنها الاتصال بالشبكة.
مراقبة سجلات حركة المرور الصادرة والواردة للكشف عن أي نشاط غير طبيعي.
تعطيل الإدارة عن بُعد عبر الواجهة الخارجية (WAN).

3. مسح الشبكة لاكتشاف الأجهزة المتأثرة

يمكن استخدام أدوات مثل nmap لمسح الشبكة الداخلية والبحث عن منفذ Telnet المفتوح:

nmap -p 23 --open 192.168.1.0/24

كما يمكن استخدام أدوات إدارة الأصول مثل Lansweeper أو Rumble لتحديد جميع الأجهزة من نوع DIR-605L في البيئة المؤسسية.

4. تطبيق مبدأ الثقة الصفرية (Zero Trust)

يُوصى بعدم الوثوق في أي جهاز متصل بالشبكة الداخلية، وتطبيق سياسات تقسيم دقيقة للشبكة (Microsegmentation)، بحيث لا يستطيع جهاز مخترق الوصول إلى موارد حساسة.

5. تعزيز المراقبة الأمنية

يجب تفعيل حلول رصد الشبكة مثل IDS/IPS وربطها بنظام SIEM مركزي، والبحث تحديداً عن:

محاولات اتصال Telnet داخل الشبكة.
استخدام اسم المستخدم Alphanetworks.
تغييرات غير معتادة في إعدادات DNS لأجهزة المستخدمين.

◎دور 4jawaly في دعم الأمن السيبراني للمؤسسات السعودية

في ظل تزايد التهديدات السيبرانية، تحرص شركة فورجوالي (4jawaly) – المرخّصة من هيئة الاتصالات والفضاء والتقنية (CST) برقم 291-10-32 والحاصلة على شهادة ISO 27001 – على تقديم خدمات اتصالات وحلول استضافة تلتزم بأعلى معايير الأمان. تشمل خدماتنا:

خدمات الرسائل النصية القصيرة (SMS) الآمنة لتنبيه المستخدمين عن أي نشاط مشبوه.
واجهات WhatsApp Business API للتواصل الآمن مع العملاء.
حلول استضافة ويب محلية داخل مراكز بيانات سعودية موثوقة.
روبوتات محادثة ذكية (AI Chatbots) لتعزيز خدمة العملاء.

◎التوصيات النهائية

نظراً لخطورة ثغرة CVE-2026-42373 ودرجة CVSS العالية (9.8)، ولأن الجهاز المتأثر وصل إلى نهاية دعمه الفني، فإن التوصية القاطعة هي:

التوقف فوراً عن استخدام جهاز D-Link DIR-605L B2 في أي بيئة إنتاجية أو حساسة.
استبداله بطراز حديث مدعوم رسمياً.
مراجعة جميع أجهزة الشبكة ضمن دورة حياة منتظمة للتأكد من عدم استخدام أجهزة منتهية الدعم.
تطبيق سياسة واضحة لإدارة دورة حياة الأصول التقنية ضمن منظومة الحوكمة الأمنية.

◎الخاتمة

تُمثّل ثغرة CVE-2026-42373 مثالاً صارخاً على مخاطر الأبواب الخلفية المضمّنة في أجهزة الشبكات، وعلى خطورة الاستمرار في استخدام أجهزة منتهية الدعم. نحثّ جميع مسؤولي تقنية المعلومات ومديري الاستضافة في المملكة العربية السعودية ودول الخليج على التحرك السريع لتقييم بيئاتهم واستبدال الأجهزة المتأثرة قبل أن تُستغل هذه الثغرة على نطاق واسع.

الأسئلة الأكثر شيوعاً

ما مدى خطورة ثغرة CVE-2026-42373؟

الثغرة مصنّفة حرجة بدرجة CVSS 9.8 من 10، وتسمح لأي مهاجم على الشبكة المحلية بالحصول على صلاحيات Root كاملة على الجهاز دون الحاجة إلى أي مصادقة فعلية.

هل ستُصدر D-Link تحديثاً لإصلاح الثغرة؟

لا. جهاز DIR-605L Hardware Revision B2 وصل إلى نهاية الدعم الفني (EOL)، ولن تُصدر الشركة أي تحديثات أمنية. الحل الوحيد هو استبدال الجهاز.

كيف يمكنني معرفة ما إذا كانت شبكتي تستخدم هذا الجهاز؟

يمكن استخدام أدوات مسح الشبكة مثل nmap للبحث عن منفذ Telnet المفتوح (23)، أو مراجعة ملصق الجهاز للتأكد من الطراز والإصدار (Hardware Revision B2).

هل يكفي تغيير كلمة مرور الراوتر لحل المشكلة؟

لا. كلمة المرور مضمّنة بشكل ثابت في البرنامج الثابت ولا يمكن تغييرها من واجهة المستخدم. الحل الوحيد هو استبدال الجهاز.

ما علاقة هذه الثغرة بضوابط الهيئة الوطنية للأمن السيبراني؟

استخدام أجهزة منتهية الدعم يخالف ضوابط ECC المتعلقة بإدارة الأصول التقنية وإدارة الثغرات وحماية الشبكات، وقد يعرّض المؤسسة للمساءلة التنظيمية.