◎مقدمة: ثغرة حرجة تهدد أجهزة D-Link DIR-456U في الشبكات السعودية
كشف باحثون في الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرف CVE-2026-42376 وتُصنّف بدرجة 9.8 (حرجة) على مقياس CVSS v3.1، تؤثر على أجهزة التوجيه (Routers) من طراز D-Link DIR-456U الإصدار A1. الثغرة عبارة عن باب خلفي (Backdoor) مُضمّن في البرنامج الثابت (Firmware) للجهاز عبر خدمة Telnet، مع بيانات اعتماد (Credentials) ثابتة ومشفّرة مسبقاً داخل ملفات النظام، مما يمنح المهاجم صلاحيات الجذر (root) الكاملة دون الحاجة إلى أي تفاعل من المستخدم.
الأخطر من ذلك أن الجهاز وصل إلى نهاية دورة حياته (End-of-Life) ولن تصدر له الشركة المُصنِّعة أي تحديثات أمنية، مما يجعل جميع الأجهزة العاملة حالياً في الشبكات السعودية والخليجية معرضة بشكل دائم للاختراق ما لم يتم استبدالها أو عزلها فوراً.
◎تفاصيل الثغرة التقنية CVE-2026-42376
تكمن الثغرة في وجود خدمة Telnet daemon يتم تشغيلها تلقائياً عند إقلاع الجهاز من خلال سكريبت التهيئة /etc/init0.d/S80telnetd.sh. يقوم هذا السكريبت بتشغيل نسخة مُعدَّلة من خدمة telnetd تستخدم بيانات دخول ثابتة:
اسم المستخدم:Alphanetworks
كلمة المرور الثابتة:whdrv01_dlob_dir456U (يتم قراءتها من الملف /etc/config/image_sign)
تستخدم النسخة المُخصصة من ثنائي telnetd خياراً غير موثّق هو -u user:password لتمرير بيانات الاعتماد، بينما يعتمد ثنائي login المُعدّل على دالة strcmp() البسيطة للتحقق من صحة بيانات الدخول. هذه التصميمة تمثل انتهاكاً صريحاً لمبادئ الأمن السيبراني وتندرج تحت التصنيف CWE-798: استخدام بيانات اعتماد مشفّرة مسبقاً (Use of Hard-coded Credentials).
سيناريو الاستغلال
بمجرد أن يتمكن المهاجم من الوصول إلى الشبكة المحلية التي يتصل بها الجهاز (سواء عبر Wi-Fi أو اتصال سلكي)، يستطيع تنفيذ الأوامر التالية للحصول على صلاحيات جذر كاملة:
◎(root shell granted)بعد الحصول على صلاحيات الجذر، يمكن للمهاجم:اعتراض جميع حركة المرور (Traffic) المارة عبر الراوتر بما فيها كلمات المرور وبيانات الخدمات المصرفية.تعديل إعدادات DNS لإعادة توجيه المستخدمين إلى مواقع تصيّد احتيالي.زرع برمجيات خبيثة دائمة (Persistent Malware) داخل البرنامج الثابت.استخدام الجهاز كنقطة انطلاق (Pivot Point) لمهاجمة باقي أجهزة الشبكة الداخلية.ضم الجهاز إلى شبكات البوت نت (Botnets) مثل Mirai و Mozi.الأنظمة والأجهزة المتأثرة
تؤثر الثغرة بشكل مؤكد على:
D-Link DIR-456U Hardware Revision A1 — جميع إصدارات البرنامج الثابت.
الأجهزة التي وصلت إلى حالة نهاية الدعم (EOL) ولن تتلقى أي تصحيحات.
من المرجح أيضاً أن تكون نماذج مشابهة من نفس العائلة (التي تعتمد على نفس البرنامج الثابت المُصنَّع من Alphanetworks) تحمل ثغرات مماثلة، ويُنصح بفحصها جميعاً.
◎السياق المحلي: لماذا يجب على مدراء الأنظمة في السعودية أخذ هذه الثغرة على محمل الجد؟
وفقاً لتقارير هيئة الاتصالات وتقنية المعلومات (CITC) والهيئة الوطنية للأمن السيبراني (NCA)، تُعدّ أجهزة التوجيه المنزلية والمكتبية من أكثر نقاط الضعف استهدافاً في المملكة العربية السعودية ودول الخليج. العديد من الشركات الصغيرة والمتوسطة، وكذلك المكاتب الفرعية للشركات الكبرى، تعتمد على أجهزة D-Link بسبب توفرها وانخفاض تكلفتها.
كما أن الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة عن NCA تفرض على الجهات الحكومية وشبه الحكومية استبدال الأجهزة التي وصلت لنهاية دعمها فوراً، وتعتبر وجود أجهزة غير مدعومة في الشبكة مخالفة صريحة للضابط 2-3-3 الخاص بإدارة التحديثات والتصحيحات.
مخاطر خاصة بقطاع الاستضافة والمزودين المحليين
إذا كنت تعمل لدى مزود استضافة سعودي أو مركز بيانات محلي، فإن استخدام أي جهاز DIR-456U في شبكات الإدارة خارج النطاق (Out-of-Band Management) أو كحل احتياطي يُعدّ كارثة أمنية قد تؤدي إلى:
انتهاك متطلبات ISO 27001 الخاصة بإدارة الأصول.
مخالفة سياسة حماية البيانات الشخصية (PDPL) السعودية في حال تسرّب بيانات العملاء.
فقدان ترخيص CITC في حالة ثبوت الإهمال في حماية البنية التحتية.
◎الإجراءات التصحيحية العاجلة لمدراء الأنظمة السعوديين
أولاً: الإجراءات الفورية (خلال 24 ساعة)
جرد شامل: قم بفحص جميع أجهزة التوجيه في منشأتك وتحديد أي جهاز DIR-456U A1 باستخدام أدوات مثل nmap أو Shodan للشبكات الداخلية.
عزل الأجهزة المصابة: إذا كان الاستبدال غير ممكن فوراً، اعزل الجهاز في VLAN منفصل بدون وصول إلى الإنترنت أو البيانات الحساسة.
تعطيل Telnet من الشبكة: قم بحظر المنفذ TCP/23 على جميع الجدران النارية (Firewalls) لمنع أي وصول خارجي.
مراقبة حركة المرور: فعّل تسجيل حركة المرور على المنفذ 23 واستخدم أنظمة IDS/IPS مثل Suricata للكشف عن محاولات الاستغلال.
ثانياً: الحل الجذري (خلال أسبوع)
الاستبدال الكامل: الحل الوحيد الفعلي هو استبدال الجهاز بأحد البدائل المدعومة مثل MikroTik أو Cisco أو Ubiquiti أو D-Link من الطرازات الحديثة المدعومة.
التحقق من سلامة الشبكة: افحص الأجهزة المتصلة بالراوتر المصاب للتأكد من عدم تعرضها للاختراق، خاصة فحص DNS settings على أجهزة المستخدمين.
تغيير جميع كلمات المرور: إذا مرت بيانات حساسة عبر الجهاز المصاب، غيّر جميع كلمات المرور للخدمات الداخلية والسحابية.
ثالثاً: التوعية والتوثيق
وثّق الحادثة ضمن سجل إدارة الحوادث وفقاً لضوابط NCA.
أبلغ عن أي محاولة استغلال عبر المركز الوطني الإرشادي للأمن السيبراني.
درّب فريقك على أهمية التحقق من حالة EOL لكل جهاز شبكي قبل الشراء.
◎كيف يمكن لـ 4Jawaly مساعدتك؟
في ظل هذه التهديدات المتصاعدة، توفر فورجوالي (4Jawaly) — الشركة السعودية الحاصلة على ترخيص CITC رقم 291-10-32 وشهادة ISO 27001 — حلول استضافة آمنة في مراكز بيانات محلية تتبع أحدث معايير الأمن السيبراني، بعيداً عن مخاطر الأجهزة منتهية الدعم. كما يمكنك استخدام خدمات SMS وWhatsApp Business API من 4Jawaly لإرسال تنبيهات أمنية فورية لفريق الاستجابة عند رصد أي نشاط مشبوه على شبكتك.
◎كشف الاختراق: مؤشرات التسلل (IoCs)
راقب المؤشرات التالية التي قد تدل على استغلال نشط للثغرة:
اتصالات Telnet واردة من عناوين IP غير معروفة على المنفذ 23.
وجود عمليات غير متوقعة بصلاحيات root في سجلات الجهاز.
تعديلات غير مصرح بها في ملف /etc/config/image_sign.
تغيير إعدادات DNS إلى خوادم غير مألوفة.
ارتفاع غير مبرر في استهلاك النطاق الترددي الصادر.
◎خاتمة: الدرس المستفاد
تؤكد ثغرة CVE-2026-42376 حقيقة مريرة: الأجهزة منتهية الدعم هي قنابل موقوتة في شبكتك. لا يوجد تصحيح، ولا بديل سوى الاستبدال الفوري. على جميع مدراء الأنظمة في المملكة العربية السعودية ودول الخليج اعتماد سياسة صارمة لإدارة دورة حياة الأجهزة (Asset Lifecycle Management) تتضمن متابعة تواريخ EOL ووضع ميزانيات استبدال سنوية. الأمن السيبراني ليس ترفاً بل ضرورة قانونية وتشغيلية في عصر التحول الرقمي الذي تقوده رؤية المملكة 2030.
الأسئلة الأكثر شيوعاً
هل يمكن تصحيح ثغرة CVE-2026-42376 عبر تحديث البرنامج الثابت؟
لا، جهاز D-Link DIR-456U A1 وصل إلى نهاية دورة حياته (EOL) ولن تصدر له الشركة المُصنِّعة أي تحديثات أمنية. الحل الوحيد هو استبدال الجهاز بطراز مدعوم.
هل الثغرة قابلة للاستغلال عن بُعد من خارج الشبكة؟
الاستغلال الأساسي يتطلب الوصول إلى الشبكة المحلية، لكن إذا كان منفذ Telnet (23) مفتوحاً على الإنترنت أو تم اختراق جهاز داخل الشبكة، يصبح الاستغلال عن بُعد ممكناً وخطيراً جداً.
كيف أكتشف وجود أجهزة DIR-456U في شبكتي؟
استخدم أدوات فحص الشبكة مثل nmap مع السكريبت (nmap -sV -p 23 <subnet>) أو راجع قوائم MAC address الخاصة بـ Alphanetworks/D-Link في جدول ARP الخاص بالسويتش.
ما علاقة هذه الثغرة بالامتثال لضوابط NCA في السعودية؟
وجود أجهزة منتهية الدعم يخالف الضابط 2-3-3 من ECC-1:2018 الخاص بإدارة التحديثات، وقد يعرّض المنشأة لمخالفات تنظيمية وعقوبات من الهيئة الوطنية للأمن السيبراني.
هل تكفي إعادة ضبط المصنع (Factory Reset) لإزالة الباب الخلفي؟
لا، الباب الخلفي مُضمّن في البرنامج الثابت نفسه وبيانات الاعتماد مُخزّنة في ملفات النظام الأساسية، لذا إعادة الضبط لن تزيلها. الاستبدال هو الحل الوحيد.
◎مقدمة: تهديد حرج يطال أجهزة D-Link المنتشرة في المنازل والمكاتب الصغيرة
كشف باحثون في الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرّف CVE-2026-42375 بدرجة خطورة 9.8 (حرجة) وفقاً لمعيار CVSS v3.1، تؤثر على راوترات D-Link DIR-600L Hardware Revision A1 التي وصلت إلى نهاية دورة حياتها (End-of-Life). الثغرة عبارة عن باب خلفي Telnet مدمج (Hardcoded Backdoor) يمنح المهاجم على الشبكة المحلية صلاحيات الجذر (root) الكاملة دون الحاجة إلى أي مصادقة حقيقية.
هذه الثغرة مصنفة ضمن فئة CWE-798: Use of Hard-coded Credentials، وهي من أخطر أنواع الثغرات لأنها لا يمكن إصلاحها بتغيير كلمة المرور من قبل المستخدم، بل تتطلب تحديثاً في البرنامج الثابت (Firmware) — وهو ما لن يحدث لأن الجهاز منتهي الدعم رسمياً.
◎تفاصيل الثغرة التقنية
عند إقلاع الجهاز، يقوم راوتر D-Link DIR-600L A1 بتشغيل خدمة Telnet تلقائياً عبر السكربت /bin/telnetd.sh. هذه الخدمة تستخدم بيانات اعتماد مدمجة ثابتة في البرنامج الثابت:
اسم المستخدم: Alphanetworks
كلمة المرور: wrgn35_dlwbr_dir600l
يتم قراءة كلمة المرور من الملف /etc/alpha_config/image_sign، ويستخدم الجهاز نسخة مخصصة من telnetd تقبل العلم -u user:password، بينما تعتمد أداة login المخصصة على دالة strcmp() للتحقق من بيانات الاعتماد — وهي طريقة بدائية وغير آمنة.
كيف يتم استغلال الثغرة؟
سيناريو الهجوم بسيط للغاية وخطير في الوقت نفسه:
يتصل المهاجم بالشبكة المحلية (سواء عبر Wi-Fi أو Ethernet).
يقوم بفحص الشبكة للعثور على أجهزة DIR-600L (منفذ Telnet 23 مفتوح).
ينفذ أمر telnet <router-ip> ويستخدم بيانات الاعتماد المدمجة.
يحصل فوراً على صدفة جذر (root shell) مع تحكم إداري كامل.
بمجرد الحصول على صلاحيات الجذر، يمكن للمهاجم تنفيذ أي من العمليات التالية:
اعتراض حركة المرور (Traffic Interception) وسرقة بيانات الاعتماد.
تعديل إعدادات DNS لإعادة توجيه المستخدمين إلى مواقع تصيّد.
تثبيت برمجيات خبيثة دائمة (Persistent Malware) مثل Mirai وMozi.
استخدام الراوتر كنقطة انطلاق لمهاجمة الأجهزة الأخرى على الشبكة الداخلية.
ضم الجهاز إلى شبكات Botnet لشن هجمات DDoS.
◎الأنظمة المتأثرة
الثغرة تؤثر تحديداً على:
الطراز: D-Link DIR-600L
الإصدار العتادي: Hardware Revision A1
الحالة: منتهي الدعم (EOL) — لن يصدر تصحيح أمني
تجدر الإشارة إلى أن راوترات DIR-600L كانت منتشرة على نطاق واسع في المملكة العربية السعودية ودول الخليج خلال الفترة 2012-2018 كحلول منزلية وللمكاتب الصغيرة (SOHO)، ولا تزال كثير من الشركات الصغيرة والمتوسطة تستخدمها.
◎تقييم الخطورة (CVSS 9.8)
حصلت الثغرة على درجة 9.8 من 10، وهو تصنيف حرج، للأسباب التالية:
سهولة الاستغلال (Attack Complexity: Low): لا يحتاج المهاجم إلى مهارات متقدمة.
لا تتطلب مصادقة (Privileges Required: None): بيانات الاعتماد عامة ومنشورة.
لا تتطلب تفاعل المستخدم (User Interaction: None).
تأثير كامل على السرية والسلامة والتوافر (CIA Impact: High).
◎السياق المحلي: لماذا يهم مديري الأنظمة في السعودية؟
هيئة الاتصالات والفضاء والتقنية (CITC) والهيئة الوطنية للأمن السيبراني (NCA) تصنّفان البنية التحتية الشبكية ضمن الأصول الحساسة التي يجب حمايتها. استخدام أجهزة منتهية الدعم يعد مخالفة مباشرة للضوابط الأساسية للأمن السيبراني (ECC-1:2018) التي تفرض:
الضابط 2-10: إدارة الأصول التقنية بما يضمن استبدال الأجهزة غير المدعومة.
الضابط 2-3-3: حماية الشبكات من التهديدات الخارجية والداخلية.
الضابط 2-5: إدارة الثغرات الأمنية والتحديثات.
في سياق شركات الاستضافة ومراكز البيانات السعودية (مثل تلك التابعة لـ STC وMobily وعلي بابا كلاود بالسعودية)، يجب التأكد من أن أجهزة الشبكة المستخدمة في البيئات الإدارية (Management Networks) ليست من الأجهزة منتهية الدعم.
◎خطوات عملية لمديري الأنظمة والاستضافة في السعودية
1. الإجراء الفوري: الاستبدال
لا يوجد حل برمجي لهذه الثغرة. التوصية الوحيدة هي استبدال الجهاز فوراً بموديل حديث مدعوم من D-Link أو علامة تجارية أخرى موثوقة (مثل MikroTik، Ubiquiti، أو Cisco للبيئات المؤسسية).
2. إجراءات تخفيف مؤقتة (حتى الاستبدال)
عزل الجهاز: ضعه خلف جدار ناري (Firewall) يمنع الوصول إلى منفذ Telnet (TCP 23).
تعطيل الوصول اللاسلكي للضيوف: تأكد من أن الشبكة اللاسلكية محمية بـ WPA2/WPA3 بكلمة مرور قوية.
تقسيم الشبكة (Network Segmentation): ضع الراوتر في VLAN منفصل بعيداً عن الأصول الحساسة.
مراقبة حركة المرور: فعّل تسجيل الأحداث وراقب أي محاولات اتصال عبر المنفذ 23.
3. جرد الأصول (Asset Inventory)
قم بإجراء مسح شامل للشبكة باستخدام أدوات مثل Nmap:
nmap -p 23 --open -sV 192.168.0.0/16
لتحديد جميع الأجهزة التي تعمل على Telnet، ثم افحصها يدوياً لتحديد الطراز.
4. التحقق من الاختراق (Compromise Assessment)
إذا كان لديك جهاز DIR-600L A1 يعمل حالياً، افترض أنه مخترق وقم بـ:
فحص سجلات DNS بحثاً عن استعلامات غير معتادة.
مراجعة أجهزة الشبكة المتصلة بحثاً عن أجهزة مجهولة.
التحقق من إعدادات DNS في الراوتر (يجب أن تكون خوادم موثوقة مثل 8.8.8.8 أو خوادم STC).
إعادة ضبط المصنع ثم الفصل الفوري قبل الاستبدال.
◎لماذا تنتشر ثغرات الأبواب الخلفية المدمجة؟
ثغرات CWE-798 شائعة في أجهزة IoT والراوترات المنزلية لأسباب عدة:
بيانات اعتماد مخصصة للدعم الفني (Backdoor for support) لم يتم إزالتها قبل الإصدار التجاري.
نقص في مراجعات الكود الأمنية قبل الإنتاج.
ضغط تكاليف التصنيع على حساب الأمن.
عدم وجود سياسة واضحة لدورة حياة المنتج الأمنية.
◎دور 4Jawaly في تعزيز الأمن السيبراني للعملاء
بصفتنا شركة سعودية مرخصة من هيئة الاتصالات والفضاء والتقنية (ترخيص 291-10-32) وحاصلة على شهادة ISO 27001 لأمن المعلومات، فإننا في 4Jawaly نولي أهمية قصوى لأمن البنية التحتية. خدمات الاستضافة لدينا تعمل على مراكز بيانات محلية داخل المملكة، مع أجهزة شبكية مؤسسية حديثة تخضع لتحديثات أمنية دورية.
نوصي جميع عملائنا من مديري تقنية المعلومات ومسؤولي الاستضافة بـ:
الاشتراك في تنبيهات الثغرات من المركز الوطني الإرشادي للأمن السيبراني (NCA).
إجراء تقييمات دورية للثغرات (Vulnerability Assessment) على البنية التحتية.
اعتماد سياسة صارمة لاستبدال الأجهزة منتهية الدعم.
استخدام حلول المصادقة متعددة العوامل (MFA) عبر خدمات OTP التي تقدمها 4Jawaly.
◎خلاصة وتوصيات نهائية
ثغرة CVE-2026-42375 تمثل تذكيراً صارخاً بخطورة الاعتماد على أجهزة شبكية منتهية الدعم. بيانات الاعتماد المدمجة (Alphanetworks / wrgn35_dlwbr_dir600l) أصبحت الآن عامة ومنشورة، وأي مهاجم يمكنه استغلالها خلال ثوانٍ للسيطرة الكاملة على الجهاز والشبكة المرتبطة به.
التوصية الذهبية: إذا كنت تمتلك راوتر D-Link DIR-600L A1، افصله من الكهرباء الآن واستبدله فوراً. لا تنتظر حتى يتم استغلاله — فالثغرة لن تُصلح أبداً.
الأسئلة الأكثر شيوعاً
ما هي ثغرة CVE-2026-42375 بشكل مبسط؟
هي ثغرة حرجة في راوترات D-Link DIR-600L A1 تحتوي على اسم مستخدم وكلمة مرور مدمجين في النظام (Alphanetworks / wrgn35_dlwbr_dir600l)، يستطيع أي شخص على الشبكة المحلية استخدامهما عبر خدمة Telnet للحصول على تحكم كامل بالجهاز.
هل يوجد تصحيح أمني (Patch) لهذه الثغرة؟
لا يوجد ولن يصدر أي تصحيح. الجهاز منتهي الدعم رسمياً من D-Link، والحل الوحيد هو استبدال الراوتر فوراً بجهاز مدعوم.
كيف أعرف إذا كان لدي راوتر D-Link DIR-600L A1؟
تحقق من الملصق الموجود أسفل الجهاز، ستجد رقم الطراز (DIR-600L) وإصدار العتاد (H/W Ver: A1). يمكنك أيضاً الدخول إلى لوحة الإدارة عبر المتصفح للتحقق.
هل يمكن للمهاجم استغلال الثغرة من الإنترنت أم فقط من الشبكة المحلية؟
الاستغلال المباشر يتطلب الوصول إلى الشبكة المحلية، لكن إذا كان منفذ Telnet (23) مفتوحاً على الإنترنت أو إذا تم اختراق أحد الأجهزة على الشبكة، يصبح الاستغلال ممكناً عن بُعد.
ما علاقة هذه الثغرة بضوابط الأمن السيبراني في السعودية؟
استخدام أجهزة منتهية الدعم يخالف الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة عن الهيئة الوطنية للأمن السيبراني، خاصة ضوابط إدارة الأصول التقنية وإدارة الثغرات.
كشف باحثون في مجال الأمن السيبراني عن ثغرة حرجة تحمل المعرّف CVE-2026-42374 في أجهزة التوجيه (الراوتر) من نوع D-Link DIR-600L Hardware Revision B1، والتي تحتوي على باب خلفي (Backdoor) مزروع في الشركة المصنعة عبر بروتوكول Telnet. هذه الثغرة حصلت على درجة خطورة 9.8 من 10 (حرجة) وفقاً لمقياس CVSS، وتسمح لأي مهاجم متصل بالشبكة المحلية بالحصول على صلاحيات الجذر (root) الكاملة على الجهاز دون الحاجة إلى أي مصادقة مشروعة.
ما يزيد من خطورة هذه الثغرة هو أن الجهاز المتأثر قد وصل إلى نهاية دورة حياته (End-of-Life)، مما يعني أن الشركة المصنعة D-Link لن تصدر أي تحديثات أمنية لمعالجة هذه الثغرة، وبالتالي تبقى جميع الأجهزة العاملة حالياً عرضة دائمة للاستغلال.
◎تفاصيل الثغرة التقنية
تعود الثغرة إلى وجود بيانات اعتماد ثابتة ومبرمجة مسبقاً (Hardcoded Credentials) داخل البرنامج الثابت (Firmware) للجهاز، وهو ما يُصنّف ضمن فئة الضعف CWE-798: Use of Hard-coded Credentials. وتتلخص آلية عمل الباب الخلفي في النقاط التالية:
يقوم الجهاز عند الإقلاع بتشغيل خدمة Telnet تلقائياً عبر السكربت /bin/telnetd.sh.
اسم المستخدم المبرمج مسبقاً هو Alphanetworks.
كلمة المرور الثابتة هي wrgn61_dlwbr_dir600L ويتم قراءتها من الملف /etc/alpha_config/image_sign.
تستخدم النسخة المُعدّلة من telnetd خيار -u user:password لتمرير بيانات الاعتماد.
تتحقق دالة login المخصصة من بيانات الاعتماد باستخدام strcmp() فقط.
عند نجاح المصادقة، يحصل المهاجم على shell بصلاحيات الجذر (root) مباشرة.
◎الأنظمة والأجهزة المتأثرة
تؤثر هذه الثغرة بشكل مباشر على:
D-Link DIR-600L – النسخة العتادية Hardware Revision B1.
جميع إصدارات البرنامج الثابت (Firmware) العاملة على هذه النسخة العتادية، لأن الباب الخلفي مزروع في مستوى النظام.
الحالة الرسمية: End-of-Life (EOL) – لن تصدر تحديثات أمنية.
تجدر الإشارة إلى أن أجهزة DIR-600L لا تزال شائعة الاستخدام في المنازل والمكاتب الصغيرة في المملكة العربية السعودية ودول الخليج، خاصة في البيئات التي لم تقم بتحديث بنيتها التحتية الشبكية منذ سنوات.
◎سيناريوهات الاستغلال المحتملة
يمكن للمهاجم استغلال هذه الثغرة في عدة سيناريوهات خطيرة:
1. الاستغلال من الشبكة المحلية (LAN)
يستطيع أي مهاجم متصل بالشبكة الداخلية — سواء عبر Wi-Fi أو عبر منفذ إيثرنت — الاتصال بخدمة Telnet على المنفذ 23 واستخدام بيانات الاعتماد المكشوفة للحصول على صلاحيات root.
2. الاستغلال عن بُعد عبر الإنترنت
في حال كان منفذ Telnet (23) مفتوحاً على واجهة WAN بسبب خطأ في الإعداد أو بسبب إعادة توجيه المنافذ (Port Forwarding)، يصبح الجهاز عرضة للاستغلال من أي مكان في العالم.
3. تحويل الجهاز إلى نقطة انطلاق لهجمات أوسع
بعد الحصول على shell بصلاحيات root، يمكن للمهاجم:
اعتراض حركة المرور الشبكية (Man-in-the-Middle).
سرقة بيانات الاعتماد وجلسات المستخدمين.
تحويل الجهاز إلى جزء من شبكة بوتات (Botnet) مثل Mirai.
شن هجمات حجب الخدمة الموزعة (DDoS) ضد أهداف أخرى.
التمحور (Pivoting) نحو أجهزة أخرى داخل الشبكة الداخلية.
زرع برامج ضارة مستمرة في البرنامج الثابت.
◎الخطورة على البيئة السعودية والخليجية
تكتسب هذه الثغرة أهمية خاصة في السياق السعودي والخليجي لعدة أسباب:
الانتشار الواسع للأجهزة المنزلية والمكتبية: لا تزال أجهزة D-Link منتشرة في المنازل والمكاتب الصغيرة والمتوسطة (SMBs) في المملكة.
التوجه الوطني نحو رؤية 2030: تعتمد خطط التحول الرقمي على بنية شبكية آمنة، وأي جهاز مخترق يُشكل تهديداً للمبادرات الحكومية والخاصة.
متطلبات هيئة الاتصالات والفضاء والتقنية (CST/CITC): تفرض الهيئة معايير صارمة على مشغلي الشبكات ومزودي خدمات الاستضافة للحفاظ على أمن الأجهزة المتصلة.
الضوابط الأساسية للأمن السيبراني (ECC) من الهيئة الوطنية للأمن السيبراني (NCA): تُلزم الجهات الحكومية والحيوية بإزالة الأجهزة التي وصلت إلى نهاية عمرها التشغيلي.
◎خطوات عملية لمسؤولي الاستضافة وتقنية المعلومات في السعودية
الإجراء الفوري: العزل والاستبدال
نظراً لعدم وجود تحديث أمني متاح، فإن الحل الوحيد الفعّال هو:
جرد الأجهزة: قم بفحص شامل للبنية التحتية الشبكية للتعرف على أي أجهزة D-Link DIR-600L B1.
الاستبدال الفوري: قم باستبدال الأجهزة المتأثرة بأجهزة حديثة مدعومة من الشركة المصنعة وتتلقى تحديثات أمنية منتظمة.
العزل المؤقت: في حال تعذر الاستبدال الفوري، ضع الجهاز في شبكة معزولة (VLAN) خلف جدار حماية صارم.
تدابير تقنية للتخفيف المؤقت
تعطيل Telnet: قم بتعطيل خدمة Telnet من واجهة الإدارة إن أمكن (رغم أن الباب الخلفي قد يبقى نشطاً في مستوى النظام).
إغلاق المنفذ 23: تأكد من أن المنفذ 23 (Telnet) مُغلق تماماً على واجهة WAN.
تقسيم الشبكة (Network Segmentation): افصل الأجهزة غير الموثوقة في شبكة فرعية مستقلة.
مراقبة حركة المرور: استخدم أدوات IDS/IPS لرصد أي محاولات اتصال على المنفذ 23.
قائمة التحكم في الوصول (ACL): قيّد الوصول إلى واجهة الإدارة بعناوين IP محددة فقط.
تدابير إدارية وتنظيمية
وضع سياسة واضحة لإدارة دورة حياة الأجهزة الشبكية (Hardware Lifecycle Management).
منع شراء أو نشر أي جهاز وصل إلى نهاية عمره التشغيلي EOL.
توثيق جميع الأصول الشبكية وحالتها في سجل الأصول (Asset Register).
التنسيق مع المركز الوطني الإرشادي للأمن السيبراني (HCC) في حال رصد أي نشاط مشبوه.
◎كيفية الكشف عن الاستغلال
للتأكد من عدم استغلال الجهاز، يُنصح بمراجعة المؤشرات التالية:
فحص سجلات جدار الحماية بحثاً عن اتصالات صادرة غير معتادة من عنوان IP الخاص بالجهاز.
مراقبة استهلاك الباندويدث الشبكي — ارتفاع غير مبرر قد يدل على مشاركة الجهاز في هجمات DDoS.
البحث عن اتصالات قادمة على المنفذ 23 من عناوين خارجية.
استخدام أدوات مسح مثل nmap للتأكد من حالة منفذ Telnet: nmap -p 23 <ip>.
محاولة تسجيل الدخول ببيانات الاعتماد المكشوفة للتحقق من وجود الباب الخلفي (داخل بيئة اختبار مُصرّح بها فقط).
◎دور مزودي خدمات الاستضافة السعوديين
يتحمل مزودو الاستضافة ومراكز البيانات المحلية في المملكة — وبخاصة تلك المرخصة من هيئة الاتصالات والفضاء والتقنية — مسؤولية حماية عملائهم من خلال:
فحص دوري للأجهزة الشبكية الموجودة في مراكز البيانات.
توعية العملاء بمخاطر الأجهزة التي وصلت لنهاية عمرها.
تقديم خدمات استبدال ونقل البنية التحتية إلى أجهزة حديثة ومدعومة.
الالتزام بمتطلبات ISO 27001 في إدارة الأصول والتحكم بالمخاطر.
في 4Jawaly، وبوصفنا شركة سعودية مرخصة من هيئة الاتصالات والفضاء والتقنية (الترخيص رقم 291-10-32) وحاصلة على شهادة ISO 27001، فإننا نؤكد على أهمية اتباع أفضل الممارسات في إدارة دورة حياة الأصول التقنية، وخاصة الأجهزة الشبكية الحساسة.
◎الخلاصة والتوصيات النهائية
تمثل ثغرة CVE-2026-42374 تهديداً دائماً لا يمكن معالجته بالتحديثات البرمجية، والحل الوحيد الفعّال هو الاستبدال الكامل لأجهزة D-Link DIR-600L B1 بأجهزة حديثة مدعومة. إن الاستمرار في استخدام هذه الأجهزة يُعرّض البنية التحتية الشبكية لمخاطر جسيمة، قد تصل إلى اختراق كامل للشبكة وتسريب البيانات الحساسة.
ندعو جميع مسؤولي تقنية المعلومات في المملكة العربية السعودية إلى اتخاذ إجراءات فورية لجرد أجهزتهم الشبكية واستبدال الأجهزة التي وصلت إلى نهاية عمرها، امتثالاً لمتطلبات الهيئة الوطنية للأمن السيبراني، وحمايةً للبيانات الوطنية والشخصية.
الأسئلة الأكثر شيوعاً
ما هي ثغرة CVE-2026-42374 وما مدى خطورتها؟
هي ثغرة حرجة بدرجة 9.8 من 10 تتعلق بوجود باب خلفي مزروع في أجهزة D-Link DIR-600L B1 عبر بروتوكول Telnet، ببيانات اعتماد ثابتة (Alphanetworks / wrgn61_dlwbr_dir600L) تمنح المهاجم صلاحيات الجذر الكاملة.
هل يوجد تحديث أمني متاح لهذه الثغرة؟
لا، الجهاز وصل إلى نهاية دورة حياته (End-of-Life) ولن تصدر D-Link أي تحديثات أمنية. الحل الوحيد هو الاستبدال الكامل للجهاز بجهاز حديث مدعوم.
كيف أعرف إذا كانت شبكتي تحتوي على أجهزة متأثرة؟
قم بجرد الأجهزة الشبكية وابحث عن D-Link DIR-600L Hardware Revision B1، ثم افحص المنفذ 23 باستخدام nmap. أي جهاز مفتوح فيه Telnet يُعتبر عرضة للاستغلال.
ما موقف الهيئة الوطنية للأمن السيبراني من استخدام أجهزة EOL؟
تُلزم الضوابط الأساسية للأمن السيبراني (ECC) من NCA الجهات الحكومية والحيوية بإزالة الأجهزة منتهية الدعم فوراً، لأنها تُشكل خطراً دائماً على البيانات الوطنية.
هل يكفي تعطيل خدمة Telnet من واجهة الإدارة لحل المشكلة؟
لا يكفي بالضرورة، لأن الباب الخلفي مزروع على مستوى النظام عبر /bin/telnetd.sh وقد يُعاد تفعيله تلقائياً عند كل إقلاع. الحل الآمن الوحيد هو الاستبدال الكامل.
