◎CVE-2025-13618: ثغرة امتياز في إضافة Mentoring لوردبريس
تم اكتشاف ثغرة أمنية حرجة في إضافة Mentoring لمنصة ووردبريس، وتحديداً في جميع الإصدارات حتى 1.2.8. هذه الثغرة تتيح للمهاجمين غير المصرح لهم تسجيل الدخول بامتيازات مسؤول النظام.
تعود هذه الثغرة إلى عدم تقييد الأدوار التي يمكن للمستخدمين التسجيل بها في الوظيفة mentoring_process_registration()، مما يسمح للمهاجمين غير المصرح لهم بامتيازات مسؤول النظام بالتسجيل في النظام.
الأنظمة المتأثرة
تأثر جميع إصدارات إضافة Mentoring لوردبريس حتى 1.2.8 بهذه الثغرة.
الخطورة
تُصنف هذه الثغرة على أنها حرجة، حيث يمكن للمهاجمين استخدامها للاستيلاء على النظام وتسجيل الدخول بامتيازات مسؤول النظام.
الإجراءات الموصى بها
نوصي جميع مسؤولي الاستضافة في السعودية بتحديث إضافة Mentoring لوردبريس إلى الإصدار الأخير، serta اتخاذ الإجراءات التالية:
تحديث إضافة Mentoring إلى الإصدار الأخير.
تقييد الأدوار التي يمكن للمستخدمين التسجيل بها.
مراقبة السجلات الأمنية للكشف عن أي محاولات لتسجيل الدخول غير مصرح بها.
السياق السعودي
تُعد هذه الثغرة تهديداً لأمان الأنظمة في المملكة العربية السعودية، حيث يمكن للمهاجمين استخدامها للاستيلاء على الأنظمة وتسجيل الدخول بامتيازات مسؤول النظام.
نوصي جميع مسؤولي الاستضافة في السعودية بالتعاون مع هيئة الاتصالات وتقنية المعلومات (CITC) لضمان أمان الأنظمة وتحديث الإضافات والأمن.
مخاطر الاستغلال
تُعد هذه الثغرة خطراً كبيراً على أمان الأنظمة، حيث يمكن للمهاجمين استخدامها للاستيلاء على الأنظمة وتسجيل الدخول بامتيازات مسؤول النظام.
نوصي جميع مسؤولي الاستضافة في السعودية بالاهتمام بهذه الثغرة وضمان تحديث الإضافات والأمن لمنع أي استغلال محتمل.
الأسئلة الأكثر شيوعاً
ما هي الثغرة الأمنية في إضافة Mentoring لوردبريس؟
ثغرة أمنية حرجة تتيح للمهاجمين غير المصرح لهم تسجيل الدخول بامتيازات مسؤول النظام.
كيف يمكنني حماية نظامي من هذه الثغرة؟
يمكنك تحديث إضافة Mentoring إلى الإصدار الأخير وتقييد الأدوار التي يمكن للمستخدمين التسجيل بها.
ما هي مخاطر استغلال هذه الثغرة؟
تُعد هذه الثغرة خطراً كبيراً على أمان الأنظمة، حيث يمكن للمهاجمين استخدامها للاستيلاء على الأنظمة وتسجيل الدخول بامتيازات مسؤول النظام.
كشفت أبحاث الأمن السيبراني الحديثة عن ثغرة أمنية حرجة تحمل المعرّف CVE-2025-13618 في إضافة Mentoring الشهيرة لنظام إدارة المحتوى ووردبريس (WordPress)، وهي إضافة تُستخدم على نطاق واسع في المواقع التعليمية ومنصات التدريب والإرشاد الإلكتروني. حصلت هذه الثغرة على درجة خطورة 9.8 من 10 وفقًا لمعيار CVSS v3.1، مما يضعها في خانة الثغرات الحرجة التي تستوجب التعامل الفوري من قِبل مسؤولي الأنظمة ومقدمي خدمات الاستضافة في المملكة العربية السعودية ودول الخليج.
تكمن خطورة هذه الثغرة في كونها تسمح لأي مهاجم غير مصادق عليه (Unauthenticated Attacker)، أي دون الحاجة إلى امتلاك حساب مسبق على الموقع، بتسجيل نفسه مباشرةً بصلاحيات مسؤول (Administrator)، وهي أعلى صلاحية متاحة في منظومة ووردبريس، مما يعني السيطرة الكاملة على الموقع وقواعد بياناته وكل المحتوى المرتبط به.
◎التفاصيل التقنية للثغرة CVE-2025-13618
تم تصنيف هذه الثغرة ضمن فئة CWE-269: Improper Privilege Management، وهي فئة تشير إلى الإدارة غير السليمة للصلاحيات داخل التطبيق. تنشأ الثغرة في الدالة mentoring_process_registration() المسؤولة عن معالجة طلبات التسجيل الجديدة في الإضافة.
آلية عمل الثغرة
بشكل طبيعي، ينبغي على أي نظام تسجيل آمن أن يُقيّد الأدوار (Roles) التي يمكن للمستخدم الجديد التسجيل بها، بحيث يُسمح فقط بالأدوار منخفضة الصلاحيات مثل مشترك (Subscriber) أو طالب (Student) أو مُرشِد (Mentor). لكن في الإصدارات المتأثرة من إضافة Mentoring، فشلت الدالة المذكورة في فرض هذا القيد بشكل صحيح، مما يعني أن المهاجم يستطيع تعديل طلب التسجيل (HTTP Request) يدويًا عبر إضافة حقل يحدد فيه دور administrator، فيقبل النظام هذا الإدخال دون تحقق.
خطوات استغلال محتملة (للتوعية فقط)
يقوم المهاجم بزيارة صفحة التسجيل العامة للموقع المستهدف.
يعترض طلب التسجيل باستخدام أدوات مثل Burp Suite أو OWASP ZAP.
يُضيف أو يُعدّل معامل الدور (role parameter) ليُصبح administrator.
يُرسل الطلب، فيُنشئ الموقع حسابًا جديدًا بصلاحيات كاملة.
يدخل المهاجم إلى لوحة التحكم /wp-admin ويسيطر على الموقع بالكامل.
◎الأنظمة والإصدارات المتأثرة
الإضافة المتأثرة: Mentoring Plugin for WordPress
الإصدارات المتأثرة: جميع الإصدارات من 1.0 حتى 1.2.8 (شاملة)
البيئة: أي موقع ووردبريس مُفعّل عليه هذه الإضافة مع تمكين التسجيل العام للمستخدمين
المنصة المصدر: القالب التجاري Mentoring – Education WordPress Theme من ThemeForest
تجدر الإشارة إلى أن القالب المرتبط بهذه الإضافة يحظى بشعبية كبيرة بين المؤسسات التعليمية والأكاديميات التدريبية والمنصات الاحترافية في المنطقة العربية، مما يُوسّع نطاق التأثير المحتمل بشكل كبير.
◎تأثير الثغرة ومخاطرها
السيطرة الكاملة على الموقع
بمجرد حصول المهاجم على صلاحيات المسؤول، يُصبح بإمكانه تنفيذ مجموعة واسعة من العمليات الخبيثة، منها:
رفع ملفات خبيثة (Web Shells): عبر محرر القوالب أو الإضافات، مما يُعطي المهاجم وصولًا دائمًا للخادم.
سرقة قواعد البيانات: بما في ذلك معلومات المستخدمين، كلمات المرور المُجزّأة، وبيانات الدفع.
تشويه الموقع (Defacement): تعديل المحتوى لأغراض سياسية أو دعائية.
حقن شيفرات تعدين العملات المشفرة أو برامج إعلانية خبيثة تستهدف الزوار.
استخدام الموقع كمنصة لهجمات التصيد (Phishing) ضد مؤسسات أخرى.
الانتشار الجانبي (Lateral Movement) للوصول إلى خوادم أخرى في نفس بيئة الاستضافة المشتركة.
المخاطر التنظيمية في السياق السعودي
في سياق المملكة العربية السعودية، حيث تُشرف هيئة الاتصالات والفضاء والتقنية (CST) — سابقًا هيئة الاتصالات وتقنية المعلومات (CITC) — على المحتوى الرقمي، وتفرض الهيئة الوطنية للأمن السيبراني (NCA) ضوابط صارمة ضمن الضوابط الأساسية للأمن السيبراني (ECC-1:2018)، فإن استغلال مثل هذه الثغرة قد يُعرّض المؤسسات لـ:
مخالفة نظام حماية البيانات الشخصية (PDPL) الصادر عن الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، خاصةً عند تسريب بيانات الطلاب أو المستخدمين.
غرامات مالية قد تصل إلى ملايين الريالات وفقًا لحجم الانتهاك.
الإضرار بسمعة المؤسسة التعليمية أو التدريبية.
تعطّل الخدمات المُرخّصة من CST.
◎الإجراءات الموصى بها لمسؤولي الاستضافة السعوديين
1. التحديث الفوري
قم بزيارة لوحة تحكم ووردبريس (wp-admin) وانتقل إلى قسم الإضافات، ثم حدّث إضافة Mentoring إلى أحدث إصدار متاح (أعلى من 1.2.8). إذا لم يتوفر تحديث رسمي بعد، فيُوصى بتعطيل الإضافة مؤقتًا.
2. التحقق من الحسابات المشبوهة
نفّذ الاستعلام التالي عبر phpMyAdmin أو سطر الأوامر MySQL للكشف عن حسابات مسؤولين غير معروفة:
SELECT ID, user_login, user_email, user_registered
FROM wp_users u
JOIN wp_usermeta m ON u.ID = m.user_id
WHERE m.meta_key = 'wp_capabilities'
AND m.meta_value LIKE '%administrator%'
ORDER BY user_registered DESC;
راجع أي حساب مُنشأ حديثًا ولا تعرف مصدره، واحذفه فورًا.
3. تفعيل المصادقة الثنائية (2FA)
فعّل المصادقة الثنائية لجميع حسابات المسؤولين باستخدام إضافات موثوقة مثل Wordfence Login Security أو Two Factor Authentication. يمكن دمج خدمة إرسال الرموز عبر SMS من 4Jawaly عبر واجهة API المرخّصة من CST لضمان وصول رموز OTP بشكل موثوق داخل المملكة.
4. فرض قواعد WAF على مستوى الاستضافة
إذا كنت تستخدم مزود استضافة محلي في المملكة (مثل مراكز البيانات في الرياض أو جدة أو الدمام)، فاطلب من فريق الدعم تفعيل قواعد جدار الحماية لتطبيقات الويب (WAF) التي تحجب طلبات التسجيل المحتوية على معامل role=administrator. إليك قاعدة ModSecurity مقترحة:
انتقل إلى الإعدادات > عام في ووردبريس، وألغِ تفعيل خيار “يمكن لأي شخص التسجيل” (Anyone can register) ما لم يكن التسجيل ضرورة فعلية لعمل الموقع.
7. النسخ الاحتياطي واختبار الاستعادة
تأكد من وجود نسخ احتياطية حديثة وسليمة مُخزّنة في مراكز بيانات داخل المملكة بما يتوافق مع متطلبات توطين البيانات التي تفرضها NCA. اختبر استعادة النسخة في بيئة معزولة قبل الاعتماد عليها.
◎خطة استجابة للحوادث (IR Plan)
في حال اكتشافك لأي علامة اختراق، اتبع الخطوات التالية وفقًا لإرشادات المركز الوطني للأمن السيبراني:
العزل: افصل الموقع عن الإنترنت مؤقتًا أو ضعه في وضع الصيانة.
الاحتواء: احذف الحسابات المشبوهة وغيّر جميع كلمات المرور وملفات wp-config.php salts.
التحقيق: افحص الملفات المُعدّلة مؤخرًا باستخدام أداة مثل find /var/www -mtime -7 -type f.
الاستئصال: أزل أي web shells أو backdoors، وأعد تثبيت ووردبريس الأساسي والإضافات من مصادر نظيفة.
التعافي: أعد تشغيل الموقع بعد التحقق من سلامته.
الإبلاغ: بلّغ عن الحادث للجهات المختصة إذا تضمن تسريبًا لبيانات شخصية.
◎توصيات وقائية طويلة المدى
اعتمد مبدأ الحد الأدنى من الصلاحيات (Least Privilege) عند إنشاء الحسابات.
استخدم إضافات أمنية موثوقة مثل Wordfence أو Sucuri أو iThemes Security.
اشترك في تنبيهات الثغرات من مصادر موثوقة مثل Wordfence Threat Intelligence وقاعدة بيانات NVD.
قم بإجراء اختبارات اختراق دورية (Penetration Testing) بواسطة شركات مُرخّصة من الهيئة الوطنية للأمن السيبراني.
فعّل التسجيل والمراقبة المستمرة (SIEM) خاصةً للمواقع التي تتعامل مع بيانات حساسة.
استخدم قنوات إشعار فورية مثل WhatsApp Business API أو SMS لإبلاغ فريق الأمن عند أي محاولة دخول مشبوهة.
◎دور 4Jawaly في دعم أمان مواقعك
بصفتها شركة سعودية مُرخّصة من هيئة الاتصالات والفضاء والتقنية برقم 291-10-32 وحاصلة على شهادة ISO 27001 في إدارة أمن المعلومات، تقدم 4Jawaly مجموعة من الخدمات التي تُعزّز الحماية السيبرانية لمواقع ووردبريس:
خدمات الاستضافة الآمنة في مراكز بيانات داخل المملكة مع تحديثات أمنية تلقائية.
بوابة SMS لإرسال رموز المصادقة الثنائية (OTP) بشكل موثوق.
WhatsApp Business API لإرسال تنبيهات أمنية فورية للمسؤولين.
خدمات التطوير المخصص لتأمين مواقع ووردبريس وفحص الإضافات.
روبوتات محادثة ذكية للرد على استفسارات المستخدمين وتقليل الاعتماد على نماذج التسجيل المكشوفة.
◎خلاصة
تُمثّل الثغرة CVE-2025-13618 في إضافة Mentoring لووردبريس تهديدًا حقيقيًا وفوريًا لآلاف المواقع التعليمية في المملكة العربية السعودية والمنطقة. إن الجمع بين عدم الحاجة إلى مصادقة، وسهولة الاستغلال، والحصول على صلاحيات كاملة، يجعل من هذه الثغرة هدفًا جذابًا للمهاجمين والبوتات الآلية. نُوصي جميع مسؤولي الأنظمة ومقدمي خدمات الاستضافة بالتحرك فورًا لتطبيق التوصيات المذكورة أعلاه، وعدم الانتظار حتى وقوع الحادث. الاستباقية في الأمن السيبراني ليست خيارًا، بل ضرورة تنظيمية وأخلاقية وتجارية.
الأسئلة الأكثر شيوعاً
كيف أعرف أن موقعي متأثر بالثغرة CVE-2025-13618؟
تحقق من لوحة إضافات ووردبريس؛ إذا كانت إضافة Mentoring مُثبّتة بإصدار 1.2.8 أو أقل، فموقعك متأثر. راجع أيضًا قاعدة بيانات المستخدمين للبحث عن حسابات بصلاحية administrator مُنشأة مؤخرًا دون علمك.
هل يكفي تعطيل الإضافة لحماية الموقع؟
تعطيل الإضافة يوقف نقطة الاستغلال، لكنه لا يزيل أي حسابات خبيثة أو ملفات backdoor تم زرعها قبل التعطيل. يجب إجراء فحص شامل للموقع وحذف أي حسابات أو ملفات مشبوهة.
ما الإجراءات التنظيمية في السعودية عند تسرب بيانات بسبب هذه الثغرة؟
وفقًا لنظام حماية البيانات الشخصية (PDPL) الصادر عن سدايا، يجب الإبلاغ عن الحادث خلال 72 ساعة، وإشعار الأشخاص المتأثرين. كما يجب التبليغ للمركز الوطني للأمن السيبراني (NCA) إذا كانت المؤسسة ضمن القطاعات الحيوية.
هل يمكن لجدار حماية الاستضافة (WAF) وحده منع الهجوم؟
WAF مع قواعد مخصصة يُقلل المخاطر بشكل كبير، لكنه ليس بديلاً عن التحديث. يُنصح بالدمج بين WAF والتحديث الفوري للإضافة وتفعيل المصادقة الثنائية عبر SMS.
كيف يساعدني 4Jawaly في تأمين موقع ووردبريس؟
تقدم 4Jawaly استضافة آمنة داخل المملكة، وخدمة SMS لإرسال رموز OTP للمصادقة الثنائية، وواجهة WhatsApp Business API لتنبيهات الأمن الفورية، إضافة إلى خدمات تطوير وتأمين مخصصة لمواقع ووردبريس.
تم اكتشاف ثغرة أمنية حرجة في إضافة MoreConvert Pro لويوردبريس، وهي إضافة شائعة الاستخدام في المواقع الإلكترونية السعودية. هذه الثغرة تسمح للمهاجمين غير المصرح لهم بالوصول إلى حسابات المسؤولين والمتسخدمين، مما ي خطرا كبيرا على أمن البيانات.
◎تفاصيل الثغرة
تسبب الثغرة في عدم إلغاء أو إعادة إنشاء رموز التحقق عند تغيير عنوان البريد الإلكتروني للعميل. هذا يسمح للمهاجمين بالوصول إلى حسابات موجودة، بما في ذلك حسابات المسؤولين، من خلال الحصول على رمز تحقق صحيح لبريد إلكتروني تحت سيطرتهم.
◎الأنظمة المتأثرة
جميع إصدارات إضافة MoreConvert Pro حتى وإCLUDING 1.9.14.
◎خطورة الثغرة
تُصنف الثغرة على أنها حرجة، مع درجة CVSS تبلغ 9.8. هذا يعني أن الثغرة يمكن أن تؤدي إلى اختراق أمني كبير، وبالتالي يجب على المسؤولين اتخاذ إجراءات فورية لتحديث الإضافة.
◎إجراءات للمسؤولين السعوديين
نوصي المسؤولين السعوديين بتحديث إضافة MoreConvert Pro إلى الإصدار الأخير، ومراجعة سجلات الوصول إلى حساباتهم، وضمان استخدام كلمات مرور قوية وآمنة.
◎السياق السعودي
تنطبق هذه الثغرة على المواقع الإلكترونية السعودية التي تستخدم إضافة MoreConvert Pro، وبالتالي يجب على المسؤولين في المملكة العربية السعودية اتخاذ إجراءات فورية لتحديث الإضافة وضمان أمن البيانات.
◎مخاطر الاستغلال
يمكن للمهاجمين استغلال هذه الثغرة لسرقة البيانات الحساسة، واختراق حسابات المسؤولين، وتنفيذ هجمات إلكترونية أخرى.
الأسئلة الأكثر شيوعاً
ما هي الثغرة الأمنية في MoreConvert Pro؟
ثغرة أمنية حرجة تسمح للمهاجمين بالوصول إلى حسابات المسؤولين والمتسخدمين.
كيف يمكنني حماية موقعي الإلكتروني؟
تحديث إضافة MoreConvert Pro إلى الإصدار الأخير، ومراجعة سجلات الوصول إلى حساباتك، وضمان استخدام كلمات مرور قوية وآمنة.
هل تؤثر هذه الثغرة على المواقع الإلكترونية السعودية؟
نعم، تؤثر هذه الثغرة على المواقع الإلكترونية السعودية التي تستخدم إضافة MoreConvert Pro.
◎مقدمة: ثغرة حرجة تهدد آلاف مواقع ووردبريس في السعودية والخليج
كشف باحثو الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرّف CVE-2026-5722 في إضافة MoreConvert Pro الشهيرة الخاصة بمنصة ووردبريس (WordPress)، وهي إضافة تُستخدم على نطاق واسع في متاجر WooCommerce لإدارة قوائم الأمنيات (Wishlist) وقوائم الانتظار (Waitlist) للزوار والعملاء. حصلت الثغرة على تقييم CVSS 9.8 (حرجة)، وتسمح للمهاجمين غير المصادقين بتجاوز آليات المصادقة والاستيلاء على حسابات المستخدمين بما في ذلك حسابات المدراء (Administrators).
تأتي هذه الثغرة في وقت يشهد فيه قطاع التجارة الإلكترونية في المملكة العربية السعودية ودول الخليج توسعاً هائلاً، حيث يعتمد عدد كبير من المتاجر السعودية على ووردبريس وWooCommerce كبنية تحتية رئيسية. ما يجعل هذه الثغرة تحديداً خطيرة هو إمكانية استغلالها عن بُعد دون الحاجة إلى أي بيانات اعتماد مسبقة، مما يضع آلاف المتاجر المرخصة من هيئة الاتصالات والفضاء والتقنية (CST) في خطر حقيقي.
◎تفاصيل الثغرة الفنية CVE-2026-5722
تتمحور الثغرة حول خلل في آلية التحقق من قوائم الانتظار للزوار (Guest Waitlist Verification Flow) داخل الإضافة. عند قيام زائر بطلب الانضمام إلى قائمة انتظار منتج معين، تُرسل الإضافة رابط تحقق (Verification Link) إلى البريد الإلكتروني المُدخل، ويحتوي هذا الرابط على رمز تحقق (Verification Token) فريد.
السبب الجذري للثغرة (CWE-287)
تُصنّف الثغرة ضمن فئة CWE-287: Improper Authentication (المصادقة غير السليمة). يكمن الخلل في أن الإضافة لا تقوم بإبطال أو إعادة توليد رمز التحقق عند تغيير عنوان البريد الإلكتروني للعميل الضيف. هذا يعني أن الرمز يبقى صالحاً حتى بعد تغيير البريد المرتبط به.
سيناريو الاستغلال خطوة بخطوة
الخطوة الأولى: يقوم المهاجم بإنشاء طلب انضمام إلى قائمة الانتظار باستخدام بريد إلكتروني يتحكم فيه (مثلاً: [email protected]).
الخطوة الثانية: يستلم المهاجم رابط التحقق الصالح الذي يحتوي على رمز (Token) مرتبط بجلسته.
الخطوة الثالثة: عبر تدفق قائمة الانتظار العامة، يقوم المهاجم بتغيير البريد الإلكتروني المرتبط بحساب الضيف إلى بريد الضحية المستهدف (مثلاً: [email protected]).
الخطوة الرابعة: يستخدم المهاجم رابط التحقق الأصلي، فيتم مصادقته كمستخدم يملك البريد [email protected] على الموقع.
النتيجة: حصول المهاجم على صلاحيات كاملة، وفي حال كان البريد المستهدف يخص حساب مدير، يحصل على سيطرة كاملة على الموقع.
◎الأنظمة والإصدارات المتأثرة
الإضافة المتأثرة: MoreConvert Pro (Smart Wishlist for More Convert)
الإصدارات المعرضة: جميع الإصدارات حتى 1.9.14 (شاملة)
مراجعة سجل التغييرات الرسمي على moreconvert.com/changelog
3. الإجراءات المؤقتة (في حال تعذر التحديث)
تعطيل الإضافة مؤقتاً حتى توفر الترقية.
تعطيل ميزة قوائم الانتظار للزوار (Guest Waitlist) من إعدادات الإضافة.
إضافة قواعد حماية على جدار الحماية للتطبيقات (WAF) لحجب طلبات تغيير البريد في نقاط النهاية الخاصة بالإضافة.
تقييد الوصول إلى مسارات AJAX الخاصة بـ MoreConvert عبر قواعد .htaccess أو nginx.
4. فحص علامات الاختراق (Indicators of Compromise)
مراجعة جدول wp_users للبحث عن حسابات مدراء جديدة أو مشبوهة.
فحص سجلات الوصول (access logs) بحثاً عن طلبات متكررة على endpoints الإضافة خلال الأشهر الماضية.
البحث عن ملفات PHP مشبوهة مُضافة حديثاً في مجلدات uploads وthemes.
فحص جدول wp_options بحثاً عن قيم active_plugins غير متوقعة.
مراجعة المهام المجدولة (wp_cron) بحثاً عن مهام خبيثة.
5. تدوير بيانات الاعتماد
تغيير كلمات مرور جميع حسابات المدراء.
تدوير مفاتيح الأمان (Secret Keys) في ملف wp-config.php.
إلغاء جميع الجلسات النشطة عبر wp user session destroy --all.
تدوير مفاتيح API الخاصة بالبوابات والتكاملات.
◎السياق السعودي والإطار التنظيمي
يُمثل هذا النوع من الثغرات تحدياً مباشراً للالتزام بالأنظمة السعودية، وأبرزها:
نظام حماية البيانات الشخصية (PDPL): أي تسرب لبيانات العملاء نتيجة هذه الثغرة يُعرّض المؤسسة لغرامات تصل إلى 5 ملايين ريال.
الضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن الهيئة الوطنية للأمن السيبراني: تُلزم بإدارة الثغرات والترقيعات في مهل زمنية محددة، خاصة للثغرات الحرجة.
هيئة الاتصالات والفضاء والتقنية (CST): تطالب مزودي الاستضافة المرخصين بالحفاظ على أمان البنية التحتية.
المركز الوطني الإرشادي للأمن السيبراني: ينصح بتطبيق مبدأ الثقة الصفرية (Zero Trust) ومراقبة الإضافات الطرفية بشكل دوري.
توصيات إضافية لمراكز البيانات المحلية
لمزودي الاستضافة السعوديين الذين يديرون مراكز بيانات في الرياض وجدة والدمام، نوصي بـ:
نشر قواعد WAF مركزية (مثل ModSecurity أو Cloudflare) لحماية جميع مواقع العملاء تلقائياً.
تفعيل خدمة الفحص الآلي اليومي للثغرات عبر أدوات مثل WPScan أو Patchstack.
إنشاء قناة تواصل عاجلة مع العملاء لتنبيههم بالثغرات الحرجة.
تقديم خدمة الترقيع الافتراضي (Virtual Patching) للعملاء غير القادرين على التحديث الفوري.
التكامل مع منصة 4Jawaly لإرسال تنبيهات أمنية فورية عبر SMS وواتساب إلى فرق الاستجابة.
◎دور 4Jawaly في تعزيز الاستجابة الأمنية
تُقدم شركة فورجوالي (4Jawaly)، الحاصلة على ترخيص CST رقم 291-10-32 وشهادة ISO 27001، حلولاً متكاملة تدعم فرق الأمن السيبراني في السعودية، من بينها:
تنبيهات SMS فورية: إرسال إشعارات أمنية للفرق التقنية عند اكتشاف ثغرات حرجة.
WhatsApp Business API: قناة اتصال موثوقة مع العملاء لإبلاغهم بالتحديثات الأمنية.
استضافة آمنة: بيئات استضافة محمية بطبقات حماية متعددة.
شات بوتات ذكية: للاستجابة الأولية للحوادث الأمنية.
◎خلاصة وتوصيات نهائية
تُعد ثغرة CVE-2026-5722 من أخطر الثغرات التي ظهرت في منظومة ووردبريس خلال عام 2026، نظراً لجمعها بين سهولة الاستغلال وخطورة التأثير. نُكرر التوصية بـ التحديث الفوري لإضافة MoreConvert Pro إلى الإصدار الآمن، وإجراء فحص شامل للاختراق، ومراجعة سياسات إدارة الإضافات الطرفية في جميع متاجر ووردبريس المستضافة في المملكة. الوقت عامل حاسم، ومع نشر تفاصيل الثغرة علناً، من المتوقع ظهور أدوات استغلال آلية خلال أيام قليلة، مما يجعل كل ساعة تأخير مخاطرة إضافية.
الأسئلة الأكثر شيوعاً
كيف أعرف إن كان متجري على ووردبريس متأثراً بثغرة CVE-2026-5722؟
إذا كنت تستخدم إضافة MoreConvert Pro (Smart Wishlist for More Convert) بإصدار 1.9.14 أو أقدم، فأنت متأثر مباشرة. يمكنك التحقق عبر لوحة تحكم ووردبريس في قسم الإضافات، أو عبر أمر wp plugin list من WP-CLI.
ما الإجراء العاجل إذا لم يتوفر تحديث فوري للإضافة؟
قم بتعطيل الإضافة مؤقتاً، أو على الأقل عطّل ميزة قوائم الانتظار للزوار (Guest Waitlist). كما يُنصح بإضافة قواعد WAF لحجب طلبات تغيير البريد الإلكتروني على نقاط النهاية الخاصة بالإضافة حتى يتوفر الترقيع الرسمي.
هل يؤثر استغلال هذه الثغرة على الالتزام بنظام حماية البيانات الشخصية PDPL؟
نعم، أي تسرب لبيانات العملاء نتيجة استغلال الثغرة يُعد انتهاكاً لنظام PDPL السعودي، وقد يُعرّض المؤسسة لغرامات تصل إلى 5 ملايين ريال، إضافة إلى وجوب إبلاغ الهيئة السعودية للبيانات والذكاء الاصطناعي خلال 72 ساعة.
كيف أفحص موقعي للتأكد من عدم اختراقه مسبقاً عبر هذه الثغرة؟
راجع جدول wp_users للبحث عن حسابات مدراء مشبوهة أو حديثة، افحص سجلات الوصول بحثاً عن طلبات متكررة على مسارات MoreConvert، وابحث عن ملفات PHP مضافة حديثاً في مجلدات uploads. يُنصح أيضاً باستخدام أدوات مثل Wordfence أو Patchstack.
هل تقدم 4Jawaly حلولاً لتنبيه فرق الأمن عند اكتشاف مثل هذه الثغرات؟
نعم، توفر 4Jawaly خدمات SMS وWhatsApp Business API التي يمكن ربطها بأنظمة SIEM وSOC لإرسال تنبيهات فورية لفرق الاستجابة عند اكتشاف ثغرات حرجة، بالإضافة إلى خدمات الاستضافة الآمنة المتوافقة مع ضوابط CST وECC.
◎CVE-2026-42376: ثغرة أمنية حرجة في جهاز D-Link DIR-456U
تم اكتشاف ثغرة أمنية حرجة في جهاز D-Link DIR-456U، وهي ثغرة من نوع hardcoded telnet backdoor. هذه الثغرة تسمح للمهاجمين بالوصول إلى الجهاز عن طريق telnet وتنفيذ أوامر معينة.
تؤثر هذه الثغرة على جهاز D-Link DIR-456U الإصدار A1، والذي تم إيقاف دعمه من قبل الشركة المصنعة. ونتيجة لذلك، لن يتم إصدار أي تصحيحات أمنية لهذا الجهاز.
تسمح هذه الثغرة للمهاجمين بالوصول إلى الجهاز عن طريق telnet باستخدام اسم مستخدم و كلمة مرور محددة مسبقا. بعد النجاح في الوصول، يمكن للمهاجمين تنفيذ أوامر معينة و الحصول على صلاحيات إدارية كاملة على الجهاز.
الأنظمة المتأثرة
تؤثر هذه الثغرة على جهاز D-Link DIR-456U الإصدار A1.
الخطوات التصحيحية
نوصي مسؤولي الأمان في المملكة العربية السعودية باتخاذ الإجراءات التالية:
إيقاف تشغيل جهاز D-Link DIR-456U إذا كان لا يزال قيد الاستخدام.
استبدال الجهاز بجهاز آخر يدعم التحديثات الأمنية.
تثبيت جدار الحماية و تكوينه لمنع الوصول إلى جهاز telnet.
مراقبة السجلات الأمنية لاكتشاف أي محاولات للوصول غير المصرح به.
السياق السعودي
تنطبق هذه الثغرة الأمنية على أجهزة الشبكات في المملكة العربية السعودية، و التي يتم استخدامها في العديد من المنشآت و المؤسسات. و نظرا لأن جهاز D-Link DIR-456U تم إيقاف دعمه، فإنه لن يتم إصدار أي تصحيحات أمنية لهذا الجهاز.
نوصي مسؤولي الأمان في المملكة العربية السعودية بالعمل مع هيئة الاتصالات وتقنية المعلومات (CITC) لضمان أمان الشبكات و الحماية من هذه الثغرة الأمنية.
مخاطر الاستغلال
تعتبر هذه الثغرة الأمنية خطرا كبيرا على أمان الشبكات في المملكة العربية السعودية. و نظرا لأن الجهاز تم إيقاف دعمه، فإنه لن يتم إصدار أي تصحيحات أمنية لهذا الجهاز.
نوصي مسؤولي الأمان في المملكة العربية السعودية بالاهتمام بهذه الثغرة الأمنية و اتخاذ الإجراءات التصحيحية اللازمة لمنع الاستغلال.
الأسئلة الأكثر شيوعاً
ما هي الثغرة الأمنية في جهاز D-Link DIR-456U؟
الثغرة الأمنية هي hardcoded telnet backdoor.
كيف يمكن للمهاجمين الوصول إلى الجهاز؟
المهاجمين يمكنهم الوصول إلى الجهاز عن طريق telnet باستخدام اسم مستخدم و كلمة مرور محددة مسبقا.
ما هي الإجراءات التصحيحية التي يجب اتخاذها؟
يجب إيقاف تشغيل الجهاز و استبداله بجهاز آخر يدعم التحديثات الأمنية.
◎مقدمة: ثغرة حرجة تهدد أجهزة D-Link DIR-456U في الشبكات السعودية
كشف باحثون في الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرف CVE-2026-42376 وتُصنّف بدرجة 9.8 (حرجة) على مقياس CVSS v3.1، تؤثر على أجهزة التوجيه (Routers) من طراز D-Link DIR-456U الإصدار A1. الثغرة عبارة عن باب خلفي (Backdoor) مُضمّن في البرنامج الثابت (Firmware) للجهاز عبر خدمة Telnet، مع بيانات اعتماد (Credentials) ثابتة ومشفّرة مسبقاً داخل ملفات النظام، مما يمنح المهاجم صلاحيات الجذر (root) الكاملة دون الحاجة إلى أي تفاعل من المستخدم.
الأخطر من ذلك أن الجهاز وصل إلى نهاية دورة حياته (End-of-Life) ولن تصدر له الشركة المُصنِّعة أي تحديثات أمنية، مما يجعل جميع الأجهزة العاملة حالياً في الشبكات السعودية والخليجية معرضة بشكل دائم للاختراق ما لم يتم استبدالها أو عزلها فوراً.
◎تفاصيل الثغرة التقنية CVE-2026-42376
تكمن الثغرة في وجود خدمة Telnet daemon يتم تشغيلها تلقائياً عند إقلاع الجهاز من خلال سكريبت التهيئة /etc/init0.d/S80telnetd.sh. يقوم هذا السكريبت بتشغيل نسخة مُعدَّلة من خدمة telnetd تستخدم بيانات دخول ثابتة:
اسم المستخدم:Alphanetworks
كلمة المرور الثابتة:whdrv01_dlob_dir456U (يتم قراءتها من الملف /etc/config/image_sign)
تستخدم النسخة المُخصصة من ثنائي telnetd خياراً غير موثّق هو -u user:password لتمرير بيانات الاعتماد، بينما يعتمد ثنائي login المُعدّل على دالة strcmp() البسيطة للتحقق من صحة بيانات الدخول. هذه التصميمة تمثل انتهاكاً صريحاً لمبادئ الأمن السيبراني وتندرج تحت التصنيف CWE-798: استخدام بيانات اعتماد مشفّرة مسبقاً (Use of Hard-coded Credentials).
سيناريو الاستغلال
بمجرد أن يتمكن المهاجم من الوصول إلى الشبكة المحلية التي يتصل بها الجهاز (سواء عبر Wi-Fi أو اتصال سلكي)، يستطيع تنفيذ الأوامر التالية للحصول على صلاحيات جذر كاملة:
◎(root shell granted)بعد الحصول على صلاحيات الجذر، يمكن للمهاجم:اعتراض جميع حركة المرور (Traffic) المارة عبر الراوتر بما فيها كلمات المرور وبيانات الخدمات المصرفية.تعديل إعدادات DNS لإعادة توجيه المستخدمين إلى مواقع تصيّد احتيالي.زرع برمجيات خبيثة دائمة (Persistent Malware) داخل البرنامج الثابت.استخدام الجهاز كنقطة انطلاق (Pivot Point) لمهاجمة باقي أجهزة الشبكة الداخلية.ضم الجهاز إلى شبكات البوت نت (Botnets) مثل Mirai و Mozi.الأنظمة والأجهزة المتأثرة
تؤثر الثغرة بشكل مؤكد على:
D-Link DIR-456U Hardware Revision A1 — جميع إصدارات البرنامج الثابت.
الأجهزة التي وصلت إلى حالة نهاية الدعم (EOL) ولن تتلقى أي تصحيحات.
من المرجح أيضاً أن تكون نماذج مشابهة من نفس العائلة (التي تعتمد على نفس البرنامج الثابت المُصنَّع من Alphanetworks) تحمل ثغرات مماثلة، ويُنصح بفحصها جميعاً.
◎السياق المحلي: لماذا يجب على مدراء الأنظمة في السعودية أخذ هذه الثغرة على محمل الجد؟
وفقاً لتقارير هيئة الاتصالات وتقنية المعلومات (CITC) والهيئة الوطنية للأمن السيبراني (NCA)، تُعدّ أجهزة التوجيه المنزلية والمكتبية من أكثر نقاط الضعف استهدافاً في المملكة العربية السعودية ودول الخليج. العديد من الشركات الصغيرة والمتوسطة، وكذلك المكاتب الفرعية للشركات الكبرى، تعتمد على أجهزة D-Link بسبب توفرها وانخفاض تكلفتها.
كما أن الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة عن NCA تفرض على الجهات الحكومية وشبه الحكومية استبدال الأجهزة التي وصلت لنهاية دعمها فوراً، وتعتبر وجود أجهزة غير مدعومة في الشبكة مخالفة صريحة للضابط 2-3-3 الخاص بإدارة التحديثات والتصحيحات.
مخاطر خاصة بقطاع الاستضافة والمزودين المحليين
إذا كنت تعمل لدى مزود استضافة سعودي أو مركز بيانات محلي، فإن استخدام أي جهاز DIR-456U في شبكات الإدارة خارج النطاق (Out-of-Band Management) أو كحل احتياطي يُعدّ كارثة أمنية قد تؤدي إلى:
انتهاك متطلبات ISO 27001 الخاصة بإدارة الأصول.
مخالفة سياسة حماية البيانات الشخصية (PDPL) السعودية في حال تسرّب بيانات العملاء.
فقدان ترخيص CITC في حالة ثبوت الإهمال في حماية البنية التحتية.
◎الإجراءات التصحيحية العاجلة لمدراء الأنظمة السعوديين
أولاً: الإجراءات الفورية (خلال 24 ساعة)
جرد شامل: قم بفحص جميع أجهزة التوجيه في منشأتك وتحديد أي جهاز DIR-456U A1 باستخدام أدوات مثل nmap أو Shodan للشبكات الداخلية.
عزل الأجهزة المصابة: إذا كان الاستبدال غير ممكن فوراً، اعزل الجهاز في VLAN منفصل بدون وصول إلى الإنترنت أو البيانات الحساسة.
تعطيل Telnet من الشبكة: قم بحظر المنفذ TCP/23 على جميع الجدران النارية (Firewalls) لمنع أي وصول خارجي.
مراقبة حركة المرور: فعّل تسجيل حركة المرور على المنفذ 23 واستخدم أنظمة IDS/IPS مثل Suricata للكشف عن محاولات الاستغلال.
ثانياً: الحل الجذري (خلال أسبوع)
الاستبدال الكامل: الحل الوحيد الفعلي هو استبدال الجهاز بأحد البدائل المدعومة مثل MikroTik أو Cisco أو Ubiquiti أو D-Link من الطرازات الحديثة المدعومة.
التحقق من سلامة الشبكة: افحص الأجهزة المتصلة بالراوتر المصاب للتأكد من عدم تعرضها للاختراق، خاصة فحص DNS settings على أجهزة المستخدمين.
تغيير جميع كلمات المرور: إذا مرت بيانات حساسة عبر الجهاز المصاب، غيّر جميع كلمات المرور للخدمات الداخلية والسحابية.
ثالثاً: التوعية والتوثيق
وثّق الحادثة ضمن سجل إدارة الحوادث وفقاً لضوابط NCA.
أبلغ عن أي محاولة استغلال عبر المركز الوطني الإرشادي للأمن السيبراني.
درّب فريقك على أهمية التحقق من حالة EOL لكل جهاز شبكي قبل الشراء.
◎كيف يمكن لـ 4Jawaly مساعدتك؟
في ظل هذه التهديدات المتصاعدة، توفر فورجوالي (4Jawaly) — الشركة السعودية الحاصلة على ترخيص CITC رقم 291-10-32 وشهادة ISO 27001 — حلول استضافة آمنة في مراكز بيانات محلية تتبع أحدث معايير الأمن السيبراني، بعيداً عن مخاطر الأجهزة منتهية الدعم. كما يمكنك استخدام خدمات SMS وWhatsApp Business API من 4Jawaly لإرسال تنبيهات أمنية فورية لفريق الاستجابة عند رصد أي نشاط مشبوه على شبكتك.
◎كشف الاختراق: مؤشرات التسلل (IoCs)
راقب المؤشرات التالية التي قد تدل على استغلال نشط للثغرة:
اتصالات Telnet واردة من عناوين IP غير معروفة على المنفذ 23.
وجود عمليات غير متوقعة بصلاحيات root في سجلات الجهاز.
تعديلات غير مصرح بها في ملف /etc/config/image_sign.
تغيير إعدادات DNS إلى خوادم غير مألوفة.
ارتفاع غير مبرر في استهلاك النطاق الترددي الصادر.
◎خاتمة: الدرس المستفاد
تؤكد ثغرة CVE-2026-42376 حقيقة مريرة: الأجهزة منتهية الدعم هي قنابل موقوتة في شبكتك. لا يوجد تصحيح، ولا بديل سوى الاستبدال الفوري. على جميع مدراء الأنظمة في المملكة العربية السعودية ودول الخليج اعتماد سياسة صارمة لإدارة دورة حياة الأجهزة (Asset Lifecycle Management) تتضمن متابعة تواريخ EOL ووضع ميزانيات استبدال سنوية. الأمن السيبراني ليس ترفاً بل ضرورة قانونية وتشغيلية في عصر التحول الرقمي الذي تقوده رؤية المملكة 2030.
الأسئلة الأكثر شيوعاً
هل يمكن تصحيح ثغرة CVE-2026-42376 عبر تحديث البرنامج الثابت؟
لا، جهاز D-Link DIR-456U A1 وصل إلى نهاية دورة حياته (EOL) ولن تصدر له الشركة المُصنِّعة أي تحديثات أمنية. الحل الوحيد هو استبدال الجهاز بطراز مدعوم.
هل الثغرة قابلة للاستغلال عن بُعد من خارج الشبكة؟
الاستغلال الأساسي يتطلب الوصول إلى الشبكة المحلية، لكن إذا كان منفذ Telnet (23) مفتوحاً على الإنترنت أو تم اختراق جهاز داخل الشبكة، يصبح الاستغلال عن بُعد ممكناً وخطيراً جداً.
كيف أكتشف وجود أجهزة DIR-456U في شبكتي؟
استخدم أدوات فحص الشبكة مثل nmap مع السكريبت (nmap -sV -p 23 <subnet>) أو راجع قوائم MAC address الخاصة بـ Alphanetworks/D-Link في جدول ARP الخاص بالسويتش.
ما علاقة هذه الثغرة بالامتثال لضوابط NCA في السعودية؟
وجود أجهزة منتهية الدعم يخالف الضابط 2-3-3 من ECC-1:2018 الخاص بإدارة التحديثات، وقد يعرّض المنشأة لمخالفات تنظيمية وعقوبات من الهيئة الوطنية للأمن السيبراني.
هل تكفي إعادة ضبط المصنع (Factory Reset) لإزالة الباب الخلفي؟
لا، الباب الخلفي مُضمّن في البرنامج الثابت نفسه وبيانات الاعتماد مُخزّنة في ملفات النظام الأساسية، لذا إعادة الضبط لن تزيلها. الاستبدال هو الحل الوحيد.
◎مقدمة: تهديد حرج يطال أجهزة D-Link المنتشرة في المنازل والمكاتب الصغيرة
كشف باحثون في الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرّف CVE-2026-42375 بدرجة خطورة 9.8 (حرجة) وفقاً لمعيار CVSS v3.1، تؤثر على راوترات D-Link DIR-600L Hardware Revision A1 التي وصلت إلى نهاية دورة حياتها (End-of-Life). الثغرة عبارة عن باب خلفي Telnet مدمج (Hardcoded Backdoor) يمنح المهاجم على الشبكة المحلية صلاحيات الجذر (root) الكاملة دون الحاجة إلى أي مصادقة حقيقية.
هذه الثغرة مصنفة ضمن فئة CWE-798: Use of Hard-coded Credentials، وهي من أخطر أنواع الثغرات لأنها لا يمكن إصلاحها بتغيير كلمة المرور من قبل المستخدم، بل تتطلب تحديثاً في البرنامج الثابت (Firmware) — وهو ما لن يحدث لأن الجهاز منتهي الدعم رسمياً.
◎تفاصيل الثغرة التقنية
عند إقلاع الجهاز، يقوم راوتر D-Link DIR-600L A1 بتشغيل خدمة Telnet تلقائياً عبر السكربت /bin/telnetd.sh. هذه الخدمة تستخدم بيانات اعتماد مدمجة ثابتة في البرنامج الثابت:
اسم المستخدم: Alphanetworks
كلمة المرور: wrgn35_dlwbr_dir600l
يتم قراءة كلمة المرور من الملف /etc/alpha_config/image_sign، ويستخدم الجهاز نسخة مخصصة من telnetd تقبل العلم -u user:password، بينما تعتمد أداة login المخصصة على دالة strcmp() للتحقق من بيانات الاعتماد — وهي طريقة بدائية وغير آمنة.
كيف يتم استغلال الثغرة؟
سيناريو الهجوم بسيط للغاية وخطير في الوقت نفسه:
يتصل المهاجم بالشبكة المحلية (سواء عبر Wi-Fi أو Ethernet).
يقوم بفحص الشبكة للعثور على أجهزة DIR-600L (منفذ Telnet 23 مفتوح).
ينفذ أمر telnet <router-ip> ويستخدم بيانات الاعتماد المدمجة.
يحصل فوراً على صدفة جذر (root shell) مع تحكم إداري كامل.
بمجرد الحصول على صلاحيات الجذر، يمكن للمهاجم تنفيذ أي من العمليات التالية:
اعتراض حركة المرور (Traffic Interception) وسرقة بيانات الاعتماد.
تعديل إعدادات DNS لإعادة توجيه المستخدمين إلى مواقع تصيّد.
تثبيت برمجيات خبيثة دائمة (Persistent Malware) مثل Mirai وMozi.
استخدام الراوتر كنقطة انطلاق لمهاجمة الأجهزة الأخرى على الشبكة الداخلية.
ضم الجهاز إلى شبكات Botnet لشن هجمات DDoS.
◎الأنظمة المتأثرة
الثغرة تؤثر تحديداً على:
الطراز: D-Link DIR-600L
الإصدار العتادي: Hardware Revision A1
الحالة: منتهي الدعم (EOL) — لن يصدر تصحيح أمني
تجدر الإشارة إلى أن راوترات DIR-600L كانت منتشرة على نطاق واسع في المملكة العربية السعودية ودول الخليج خلال الفترة 2012-2018 كحلول منزلية وللمكاتب الصغيرة (SOHO)، ولا تزال كثير من الشركات الصغيرة والمتوسطة تستخدمها.
◎تقييم الخطورة (CVSS 9.8)
حصلت الثغرة على درجة 9.8 من 10، وهو تصنيف حرج، للأسباب التالية:
سهولة الاستغلال (Attack Complexity: Low): لا يحتاج المهاجم إلى مهارات متقدمة.
لا تتطلب مصادقة (Privileges Required: None): بيانات الاعتماد عامة ومنشورة.
لا تتطلب تفاعل المستخدم (User Interaction: None).
تأثير كامل على السرية والسلامة والتوافر (CIA Impact: High).
◎السياق المحلي: لماذا يهم مديري الأنظمة في السعودية؟
هيئة الاتصالات والفضاء والتقنية (CITC) والهيئة الوطنية للأمن السيبراني (NCA) تصنّفان البنية التحتية الشبكية ضمن الأصول الحساسة التي يجب حمايتها. استخدام أجهزة منتهية الدعم يعد مخالفة مباشرة للضوابط الأساسية للأمن السيبراني (ECC-1:2018) التي تفرض:
الضابط 2-10: إدارة الأصول التقنية بما يضمن استبدال الأجهزة غير المدعومة.
الضابط 2-3-3: حماية الشبكات من التهديدات الخارجية والداخلية.
الضابط 2-5: إدارة الثغرات الأمنية والتحديثات.
في سياق شركات الاستضافة ومراكز البيانات السعودية (مثل تلك التابعة لـ STC وMobily وعلي بابا كلاود بالسعودية)، يجب التأكد من أن أجهزة الشبكة المستخدمة في البيئات الإدارية (Management Networks) ليست من الأجهزة منتهية الدعم.
◎خطوات عملية لمديري الأنظمة والاستضافة في السعودية
1. الإجراء الفوري: الاستبدال
لا يوجد حل برمجي لهذه الثغرة. التوصية الوحيدة هي استبدال الجهاز فوراً بموديل حديث مدعوم من D-Link أو علامة تجارية أخرى موثوقة (مثل MikroTik، Ubiquiti، أو Cisco للبيئات المؤسسية).
2. إجراءات تخفيف مؤقتة (حتى الاستبدال)
عزل الجهاز: ضعه خلف جدار ناري (Firewall) يمنع الوصول إلى منفذ Telnet (TCP 23).
تعطيل الوصول اللاسلكي للضيوف: تأكد من أن الشبكة اللاسلكية محمية بـ WPA2/WPA3 بكلمة مرور قوية.
تقسيم الشبكة (Network Segmentation): ضع الراوتر في VLAN منفصل بعيداً عن الأصول الحساسة.
مراقبة حركة المرور: فعّل تسجيل الأحداث وراقب أي محاولات اتصال عبر المنفذ 23.
3. جرد الأصول (Asset Inventory)
قم بإجراء مسح شامل للشبكة باستخدام أدوات مثل Nmap:
nmap -p 23 --open -sV 192.168.0.0/16
لتحديد جميع الأجهزة التي تعمل على Telnet، ثم افحصها يدوياً لتحديد الطراز.
4. التحقق من الاختراق (Compromise Assessment)
إذا كان لديك جهاز DIR-600L A1 يعمل حالياً، افترض أنه مخترق وقم بـ:
فحص سجلات DNS بحثاً عن استعلامات غير معتادة.
مراجعة أجهزة الشبكة المتصلة بحثاً عن أجهزة مجهولة.
التحقق من إعدادات DNS في الراوتر (يجب أن تكون خوادم موثوقة مثل 8.8.8.8 أو خوادم STC).
إعادة ضبط المصنع ثم الفصل الفوري قبل الاستبدال.
◎لماذا تنتشر ثغرات الأبواب الخلفية المدمجة؟
ثغرات CWE-798 شائعة في أجهزة IoT والراوترات المنزلية لأسباب عدة:
بيانات اعتماد مخصصة للدعم الفني (Backdoor for support) لم يتم إزالتها قبل الإصدار التجاري.
نقص في مراجعات الكود الأمنية قبل الإنتاج.
ضغط تكاليف التصنيع على حساب الأمن.
عدم وجود سياسة واضحة لدورة حياة المنتج الأمنية.
◎دور 4Jawaly في تعزيز الأمن السيبراني للعملاء
بصفتنا شركة سعودية مرخصة من هيئة الاتصالات والفضاء والتقنية (ترخيص 291-10-32) وحاصلة على شهادة ISO 27001 لأمن المعلومات، فإننا في 4Jawaly نولي أهمية قصوى لأمن البنية التحتية. خدمات الاستضافة لدينا تعمل على مراكز بيانات محلية داخل المملكة، مع أجهزة شبكية مؤسسية حديثة تخضع لتحديثات أمنية دورية.
نوصي جميع عملائنا من مديري تقنية المعلومات ومسؤولي الاستضافة بـ:
الاشتراك في تنبيهات الثغرات من المركز الوطني الإرشادي للأمن السيبراني (NCA).
إجراء تقييمات دورية للثغرات (Vulnerability Assessment) على البنية التحتية.
اعتماد سياسة صارمة لاستبدال الأجهزة منتهية الدعم.
استخدام حلول المصادقة متعددة العوامل (MFA) عبر خدمات OTP التي تقدمها 4Jawaly.
◎خلاصة وتوصيات نهائية
ثغرة CVE-2026-42375 تمثل تذكيراً صارخاً بخطورة الاعتماد على أجهزة شبكية منتهية الدعم. بيانات الاعتماد المدمجة (Alphanetworks / wrgn35_dlwbr_dir600l) أصبحت الآن عامة ومنشورة، وأي مهاجم يمكنه استغلالها خلال ثوانٍ للسيطرة الكاملة على الجهاز والشبكة المرتبطة به.
التوصية الذهبية: إذا كنت تمتلك راوتر D-Link DIR-600L A1، افصله من الكهرباء الآن واستبدله فوراً. لا تنتظر حتى يتم استغلاله — فالثغرة لن تُصلح أبداً.
الأسئلة الأكثر شيوعاً
ما هي ثغرة CVE-2026-42375 بشكل مبسط؟
هي ثغرة حرجة في راوترات D-Link DIR-600L A1 تحتوي على اسم مستخدم وكلمة مرور مدمجين في النظام (Alphanetworks / wrgn35_dlwbr_dir600l)، يستطيع أي شخص على الشبكة المحلية استخدامهما عبر خدمة Telnet للحصول على تحكم كامل بالجهاز.
هل يوجد تصحيح أمني (Patch) لهذه الثغرة؟
لا يوجد ولن يصدر أي تصحيح. الجهاز منتهي الدعم رسمياً من D-Link، والحل الوحيد هو استبدال الراوتر فوراً بجهاز مدعوم.
كيف أعرف إذا كان لدي راوتر D-Link DIR-600L A1؟
تحقق من الملصق الموجود أسفل الجهاز، ستجد رقم الطراز (DIR-600L) وإصدار العتاد (H/W Ver: A1). يمكنك أيضاً الدخول إلى لوحة الإدارة عبر المتصفح للتحقق.
هل يمكن للمهاجم استغلال الثغرة من الإنترنت أم فقط من الشبكة المحلية؟
الاستغلال المباشر يتطلب الوصول إلى الشبكة المحلية، لكن إذا كان منفذ Telnet (23) مفتوحاً على الإنترنت أو إذا تم اختراق أحد الأجهزة على الشبكة، يصبح الاستغلال ممكناً عن بُعد.
ما علاقة هذه الثغرة بضوابط الأمن السيبراني في السعودية؟
استخدام أجهزة منتهية الدعم يخالف الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة عن الهيئة الوطنية للأمن السيبراني، خاصة ضوابط إدارة الأصول التقنية وإدارة الثغرات.
◎CVE-2026-42375: ثغرة أمنية حرجة في جهاز D-Link DIR-600L
تم اكتشاف ثغرة أمنية حرجة في جهاز D-Link DIR-600L، وهي ثغرة باب خلفي في بروتوكول التلنت. هذه الثغرة تسمح للمهاجمين بالوصول إلى الجهاز وتنفيذ أوامر معينة دون الحاجة إلى معرفة كلمة المرور.
تحدث هذه الثغرة بسبب وجود كلمة مرور محددة مسبقًا في الجهاز، وهي “wrgn35_dlwbr_dir600l”. يمكن للمهاجمين استخدام هذه الكلمة المرور للوصول إلى الجهاز وتنفيذ أوامر معينة.
الأنظمة المتأثرة
تأثر هذه الثغرة بجهاز D-Link DIR-600L الإصدار A1. ولم يتم إصدار أي تصحيحات لأنه جهاز قديم.
الخطورة
تعتبر هذه الثغرة حرجة جدًا، حيث يمكن للمهاجمين الوصول إلى الجهاز وتنفيذ أوامر معينة دون الحاجة إلى معرفة كلمة المرور. يمكنهم أيضًا الوصول إلى البيانات الحساسة المخزنة على الجهاز.
الإجراءات الموصى بها
نوصي بتحديث الجهاز إلى إصدار أحدث، أو استبداله بجهاز أمني أكثر. كما نوصي بتعطيل بروتوكول التلنت على الجهاز، وتنفيذ إجراءات أمنية إضافية لمنع الوصول غير المصرح به إلى الجهاز.
السياق السعودي
تعتبر هذه الثغرة مهمة جدًا للمستخدمين في السعودية، حيث يمكن أن تؤثر على أمان الشبكات المحلية. نوصي بمراجعة إعدادات الأمان على الأجهزة وتنفيذ الإجراءات اللازمة لمنع الوصول غير المصرح به.
مخاطر الاستغلال
تعتبر مخاطر الاستغلال لهذه الثغرة عالية جدًا، حيث يمكن للمهاجمين الوصول إلى الجهاز وتنفيذ أوامر معينة دون الحاجة إلى معرفة كلمة المرور. يمكنهم أيضًا الوصول إلى البيانات الحساسة المخزنة على الجهاز.
الأسئلة الأكثر شيوعاً
ما هي الثغرة الأمنية التي تم اكتشافها في جهاز D-Link DIR-600L؟
ثغرة باب خلفي في بروتوكول التلنت
كيف يمكن للمهاجمين الوصول إلى الجهاز؟
يمكنهم استخدام كلمة المرور المحددة مسبقًا “wrgn35_dlwbr_dir600l”
ما هي الإجراءات الموصى بها لمنع الوصول غير المصرح به إلى الجهاز؟
◎مقدمة: ثغرة خطيرة في أجهزة راوتر منتشرة في السوق السعودي
كشفت الأبحاث الأمنية الحديثة عن ثغرة أمنية بالغة الخطورة مُصنّفة تحت المعرّف CVE-2026-42374 بدرجة خطورة 9.8 من 10 (حرجة) وفق مقياس CVSS v3.1، تستهدف أجهزة التوجيه (الراوتر) من طراز D-Link DIR-600L Hardware Revision B1. تتمثل الثغرة في وجود باب خلفي (Backdoor) مزروع بشكل متعمد في البرنامج الثابت (Firmware) للجهاز، يسمح لأي مهاجم على الشبكة المحلية بالحصول على صلاحيات الجذر (Root) كاملة دون الحاجة إلى أي مصادقة مشروعة.
الأخطر من ذلك أن هذه الأجهزة قد وصلت إلى نهاية دورة حياتها (End-of-Life)، مما يعني أن الشركة المصنّعة لن تُصدر أي تحديثات أمنية لإصلاح هذه الثغرة، مما يُحتّم على مدراء الأنظمة ومسؤولي الاستضافة في المملكة العربية السعودية ودول الخليج اتخاذ إجراءات فورية وصارمة.
◎التفاصيل التقنية للثغرة
تعمل ثغرة CVE-2026-42374 على استغلال وجود بيانات اعتماد مُدمجة بشكل صريح (Hardcoded Credentials) في البرنامج الثابت للجهاز، وهو ما يُصنّف ضمن تصنيف CWE-798: Use of Hard-coded Credentials. عند إقلاع الجهاز، يتم تشغيل خدمة Telnet تلقائيًا عبر السكربت /bin/telnetd.sh باستخدام بيانات الاعتماد التالية:
اسم المستخدم: Alphanetworks
كلمة المرور الثابتة: wrgn61_dlwbr_dir600L
يتم تخزين كلمة المرور في الملف /etc/alpha_config/image_sign، ويتم قراءتها من قِبَل النسخة المُعدّلة من خدمة telnetd التي تقبل المُعامل -u user:password. كما أن ملف login المُعدّل يستخدم دالة strcmp() البسيطة للتحقق من صحة بيانات الاعتماد، دون أي طبقة حماية إضافية مثل التجزئة (Hashing) أو التحقق متعدد العوامل.
سيناريو الاستغلال
يمكن للمهاجم المتواجد على الشبكة المحلية (سواء شبكة Wi-Fi أو شبكة سلكية متصلة بالجهاز) تنفيذ الخطوات التالية للسيطرة الكاملة على الراوتر:
فحص الشبكة المحلية للكشف عن الأجهزة التي تُشغّل خدمة Telnet على المنفذ 23.
الاتصال بالجهاز عبر Telnet باستخدام الأمر: telnet [عنوان IP الجهاز]
إدخال اسم المستخدم Alphanetworks وكلمة المرور wrgn61_dlwbr_dir600L.
الحصول الفوري على صدفة جذر (Root Shell) بصلاحيات إدارية كاملة.
◎الأنظمة المتأثرة
تؤثر هذه الثغرة بشكل مباشر على:
D-Link DIR-600L Hardware Revision B1 (جميع إصدارات البرامج الثابتة)
الأجهزة التي وصلت إلى مرحلة نهاية الدعم الفني (EOL)
جميع الشبكات المنزلية والمكتبية الصغيرة التي تستخدم هذا الطراز
تجدر الإشارة إلى أن أجهزة D-Link DIR-600L منتشرة بشكل واسع في السوق السعودي والخليجي، وقد تم توزيعها عبر عدد من متاجر الإلكترونيات ومزودي خدمة الإنترنت خلال السنوات الماضية، مما يجعل المخاطر مضاعفة في البيئات السكنية والمكاتب الصغيرة والمتوسطة (SMB).
◎تأثير الثغرة وخطورتها
نظرًا لأن المهاجم يحصل على صلاحيات الجذر الكاملة، فإنه يستطيع تنفيذ مجموعة من الهجمات الخطيرة، منها:
اعتراض حركة المرور (Traffic Interception): التجسس على جميع البيانات المارة عبر الراوتر بما فيها كلمات المرور والمعلومات البنكية.
هجمات Man-in-the-Middle: تعديل محتوى الصفحات أو إعادة توجيه المستخدمين إلى مواقع تصيد احتيالي.
خطف DNS: تغيير إعدادات DNS لإعادة توجيه حركة المرور إلى خوادم خبيثة.
استخدام الجهاز كنقطة انطلاق: لشن هجمات على أجهزة داخلية أخرى ضمن الشبكة.
تجنيد الجهاز ضمن شبكات بوت نت (Botnets): مثل شبكة Mirai المعروفة بمهاجمة أجهزة IoT.
تركيب برامج خبيثة دائمة (Persistent Malware): يصعب اكتشافها وإزالتها.
◎السياق المحلي: أهمية الإجراء السريع في المملكة
في ضوء التوجهات الرقمية لرؤية المملكة 2030 ومساعي هيئة الاتصالات والفضاء والتقنية (CST) (سابقًا CITC) لتعزيز الأمن السيبراني، تأتي هذه الثغرة لتُذكّرنا بأهمية تأمين البنية التحتية الشبكية حتى على مستوى الأجهزة الاستهلاكية. كما تتماشى متطلبات الهيئة الوطنية للأمن السيبراني (NCA) مع ضرورة استبدال الأجهزة التي وصلت لنهاية دورة حياتها، وفقًا للضوابط الأساسية للأمن السيبراني ECC-1:2018 والضوابط الخاصة بالأنظمة الحساسة CSCC-1:2019.
كما أن مزودي الاستضافة المحليين ومراكز البيانات في المملكة مثل تلك المتواجدة في الرياض وجدة والدمام، يجب أن يُنبّهوا عملاءهم من مخاطر استخدام أجهزة شبكية منتهية الدعم في بيئات العمل، خاصة تلك المتصلة بأنظمة الإدارة عن بُعد أو VPN للوصول إلى خوادم الإنتاج.
◎خطوات الحماية الموصى بها لمدراء الأنظمة السعوديين
أولًا: الإجراءات الفورية (خلال 24 ساعة)
فصل الجهاز فورًا عن الإنترنت إذا كان يُستخدم في بيئة حساسة.
تعطيل خدمة Telnet من واجهة إدارة الجهاز إن أمكن (رغم أن الباب الخلفي قد يبقى فعّالًا).
عزل الجهاز شبكيًا عبر وضعه في شبكة VLAN منفصلة عن الأنظمة الحساسة.
فحص الجهاز باستخدام أدوات مثل nmap للتأكد من حالة المنفذ 23: nmap -p 23 [عنوان IP]
ثانيًا: الإجراءات قصيرة المدى (خلال أسبوع)
استبدال الجهاز كليًا بأجهزة حديثة مدعومة من الشركة المصنّعة.
مراجعة جميع إعدادات إعادة توجيه المنافذ (Port Forwarding) للتأكد من عدم تعريض Telnet للإنترنت.
ثالثًا: الإجراءات طويلة المدى
إنشاء سياسة إدارة دورة حياة الأجهزة (Hardware Lifecycle Management) تحدد متى يجب استبدال الأجهزة.
تطبيق مبدأ الثقة الصفرية (Zero Trust) حتى داخل الشبكة المحلية.
إجراء تقييمات أمنية دورية للبنية التحتية الشبكية كل 6 أشهر.
الاشتراك في تنبيهات الثغرات من المركز الوطني الإرشادي للأمن السيبراني.
◎كيفية اكتشاف ما إذا كان جهازك مُخترقًا
لمعرفة ما إذا كان الجهاز قد تعرّض للاختراق بالفعل، يُنصح بالتحقق من المؤشرات التالية:
بطء غير مبرر في الشبكة أو حركة مرور مشبوهة.
تغيير إعدادات DNS دون تدخل المسؤول.
ظهور مستخدمين جدد في قائمة الأجهزة المتصلة.
تعديلات على قواعد جدار الحماية (Firewall Rules).
تواصل الجهاز مع عناوين IP غير معروفة خارجيًا (يمكن رصدها عبر أدوات مراقبة الشبكة).
◎توصيات 4Jawaly لحماية الأعمال السعودية
نظرًا لطبيعة التهديد وانتشار الأجهزة المتأثرة، توصي فورجوالي (4Jawaly) – الشركة السعودية الحاصلة على ترخيص هيئة الاتصالات (291-10-32) وشهادة ISO 27001 – بما يلي:
دمج خدمات SMS للتنبيهات الأمنية لإعلام مسؤولي الأنظمة فورًا عند اكتشاف نشاط شبكي مشبوه.
استخدام روبوتات المحادثة الذكية (AI Chatbots) لتوعية الموظفين بأساسيات الأمن السيبراني.
الاعتماد على خدمات الاستضافة السحابية الآمنة في مراكز البيانات المحلية بدلًا من الاعتماد على بنية شبكية منزلية ضعيفة.
تطبيق المصادقة الثنائية (2FA) عبر OTP SMS لجميع أنظمة الإدارة عن بُعد.
◎خاتمة
تُمثّل ثغرة CVE-2026-42374 تذكيرًا صارخًا بأن الأجهزة منتهية الدعم تُشكّل خطرًا مُضاعفًا على المؤسسات والأفراد في المملكة العربية السعودية ومنطقة الخليج. الاستخفاف بهذه المخاطر قد يؤدي إلى خسائر مادية ومعلوماتية جسيمة، خاصة في ظل تصاعد الهجمات السيبرانية الموجّهة للمنطقة. الحل الأمثل هو الاستبدال الفوري لهذه الأجهزة مع اعتماد ممارسات الأمن السيبراني الحديثة التي تتوافق مع الضوابط الوطنية والمعايير الدولية.
الأسئلة الأكثر شيوعاً
ما هي ثغرة CVE-2026-42374 وكيف تعمل؟
هي ثغرة حرجة في أجهزة D-Link DIR-600L Hardware Revision B1 ناتجة عن وجود بيانات اعتماد مُدمجة مسبقًا في خدمة Telnet (اسم المستخدم Alphanetworks وكلمة المرور wrgn61_dlwbr_dir600L)، تسمح لأي مهاجم على الشبكة المحلية بالحصول على صلاحيات الجذر الكاملة دون الحاجة لمصادقة.
هل يمكن إصلاح الثغرة بتحديث البرنامج الثابت؟
لا، لأن الجهاز قد وصل إلى نهاية دورة حياته (End-of-Life)، وأعلنت شركة D-Link أنها لن تُصدر أي تحديثات أمنية لهذا الطراز. الحل الوحيد هو استبدال الجهاز بآخر مدعوم.
كيف أعرف إذا كانت شبكتي تحتوي على جهاز متأثر؟
يمكنك التحقق من ملصق الجهاز الخلفي لمعرفة الطراز والإصدار (Hardware Revision B1)، أو استخدام أداة nmap لفحص المنفذ 23 (Telnet) في شبكتك: nmap -p 23 [نطاق IP]. إذا كان المنفذ مفتوحًا على راوتر D-Link DIR-600L فأنت معرّض للخطر.
ما هي البدائل الموصى بها لاستبدال الجهاز؟
يُنصح باختيار أجهزة حديثة تدعم معايير WPA3 والتحديثات التلقائية OTA من شركات موثوقة، مع التأكد من أن الجهاز يتلقى تحديثات أمنية منتظمة ويمتثل لضوابط الهيئة الوطنية للأمن السيبراني في المملكة.
هل تؤثر هذه الثغرة على بيئات العمل التجارية في السعودية؟
نعم، خاصة المكاتب الصغيرة والمتوسطة التي تستخدم هذه الأجهزة. وفقًا لضوابط الأمن السيبراني ECC-1:2018، يجب استبدال الأجهزة منتهية الدعم فورًا لتجنب المخاطر القانونية والتشغيلية.
كشف باحثون في مجال الأمن السيبراني عن ثغرة حرجة تحمل المعرّف CVE-2026-42374 في أجهزة التوجيه (الراوتر) من نوع D-Link DIR-600L Hardware Revision B1، والتي تحتوي على باب خلفي (Backdoor) مزروع في الشركة المصنعة عبر بروتوكول Telnet. هذه الثغرة حصلت على درجة خطورة 9.8 من 10 (حرجة) وفقاً لمقياس CVSS، وتسمح لأي مهاجم متصل بالشبكة المحلية بالحصول على صلاحيات الجذر (root) الكاملة على الجهاز دون الحاجة إلى أي مصادقة مشروعة.
ما يزيد من خطورة هذه الثغرة هو أن الجهاز المتأثر قد وصل إلى نهاية دورة حياته (End-of-Life)، مما يعني أن الشركة المصنعة D-Link لن تصدر أي تحديثات أمنية لمعالجة هذه الثغرة، وبالتالي تبقى جميع الأجهزة العاملة حالياً عرضة دائمة للاستغلال.
◎تفاصيل الثغرة التقنية
تعود الثغرة إلى وجود بيانات اعتماد ثابتة ومبرمجة مسبقاً (Hardcoded Credentials) داخل البرنامج الثابت (Firmware) للجهاز، وهو ما يُصنّف ضمن فئة الضعف CWE-798: Use of Hard-coded Credentials. وتتلخص آلية عمل الباب الخلفي في النقاط التالية:
يقوم الجهاز عند الإقلاع بتشغيل خدمة Telnet تلقائياً عبر السكربت /bin/telnetd.sh.
اسم المستخدم المبرمج مسبقاً هو Alphanetworks.
كلمة المرور الثابتة هي wrgn61_dlwbr_dir600L ويتم قراءتها من الملف /etc/alpha_config/image_sign.
تستخدم النسخة المُعدّلة من telnetd خيار -u user:password لتمرير بيانات الاعتماد.
تتحقق دالة login المخصصة من بيانات الاعتماد باستخدام strcmp() فقط.
عند نجاح المصادقة، يحصل المهاجم على shell بصلاحيات الجذر (root) مباشرة.
◎الأنظمة والأجهزة المتأثرة
تؤثر هذه الثغرة بشكل مباشر على:
D-Link DIR-600L – النسخة العتادية Hardware Revision B1.
جميع إصدارات البرنامج الثابت (Firmware) العاملة على هذه النسخة العتادية، لأن الباب الخلفي مزروع في مستوى النظام.
الحالة الرسمية: End-of-Life (EOL) – لن تصدر تحديثات أمنية.
تجدر الإشارة إلى أن أجهزة DIR-600L لا تزال شائعة الاستخدام في المنازل والمكاتب الصغيرة في المملكة العربية السعودية ودول الخليج، خاصة في البيئات التي لم تقم بتحديث بنيتها التحتية الشبكية منذ سنوات.
◎سيناريوهات الاستغلال المحتملة
يمكن للمهاجم استغلال هذه الثغرة في عدة سيناريوهات خطيرة:
1. الاستغلال من الشبكة المحلية (LAN)
يستطيع أي مهاجم متصل بالشبكة الداخلية — سواء عبر Wi-Fi أو عبر منفذ إيثرنت — الاتصال بخدمة Telnet على المنفذ 23 واستخدام بيانات الاعتماد المكشوفة للحصول على صلاحيات root.
2. الاستغلال عن بُعد عبر الإنترنت
في حال كان منفذ Telnet (23) مفتوحاً على واجهة WAN بسبب خطأ في الإعداد أو بسبب إعادة توجيه المنافذ (Port Forwarding)، يصبح الجهاز عرضة للاستغلال من أي مكان في العالم.
3. تحويل الجهاز إلى نقطة انطلاق لهجمات أوسع
بعد الحصول على shell بصلاحيات root، يمكن للمهاجم:
اعتراض حركة المرور الشبكية (Man-in-the-Middle).
سرقة بيانات الاعتماد وجلسات المستخدمين.
تحويل الجهاز إلى جزء من شبكة بوتات (Botnet) مثل Mirai.
شن هجمات حجب الخدمة الموزعة (DDoS) ضد أهداف أخرى.
التمحور (Pivoting) نحو أجهزة أخرى داخل الشبكة الداخلية.
زرع برامج ضارة مستمرة في البرنامج الثابت.
◎الخطورة على البيئة السعودية والخليجية
تكتسب هذه الثغرة أهمية خاصة في السياق السعودي والخليجي لعدة أسباب:
الانتشار الواسع للأجهزة المنزلية والمكتبية: لا تزال أجهزة D-Link منتشرة في المنازل والمكاتب الصغيرة والمتوسطة (SMBs) في المملكة.
التوجه الوطني نحو رؤية 2030: تعتمد خطط التحول الرقمي على بنية شبكية آمنة، وأي جهاز مخترق يُشكل تهديداً للمبادرات الحكومية والخاصة.
متطلبات هيئة الاتصالات والفضاء والتقنية (CST/CITC): تفرض الهيئة معايير صارمة على مشغلي الشبكات ومزودي خدمات الاستضافة للحفاظ على أمن الأجهزة المتصلة.
الضوابط الأساسية للأمن السيبراني (ECC) من الهيئة الوطنية للأمن السيبراني (NCA): تُلزم الجهات الحكومية والحيوية بإزالة الأجهزة التي وصلت إلى نهاية عمرها التشغيلي.
◎خطوات عملية لمسؤولي الاستضافة وتقنية المعلومات في السعودية
الإجراء الفوري: العزل والاستبدال
نظراً لعدم وجود تحديث أمني متاح، فإن الحل الوحيد الفعّال هو:
جرد الأجهزة: قم بفحص شامل للبنية التحتية الشبكية للتعرف على أي أجهزة D-Link DIR-600L B1.
الاستبدال الفوري: قم باستبدال الأجهزة المتأثرة بأجهزة حديثة مدعومة من الشركة المصنعة وتتلقى تحديثات أمنية منتظمة.
العزل المؤقت: في حال تعذر الاستبدال الفوري، ضع الجهاز في شبكة معزولة (VLAN) خلف جدار حماية صارم.
تدابير تقنية للتخفيف المؤقت
تعطيل Telnet: قم بتعطيل خدمة Telnet من واجهة الإدارة إن أمكن (رغم أن الباب الخلفي قد يبقى نشطاً في مستوى النظام).
إغلاق المنفذ 23: تأكد من أن المنفذ 23 (Telnet) مُغلق تماماً على واجهة WAN.
تقسيم الشبكة (Network Segmentation): افصل الأجهزة غير الموثوقة في شبكة فرعية مستقلة.
مراقبة حركة المرور: استخدم أدوات IDS/IPS لرصد أي محاولات اتصال على المنفذ 23.
قائمة التحكم في الوصول (ACL): قيّد الوصول إلى واجهة الإدارة بعناوين IP محددة فقط.
تدابير إدارية وتنظيمية
وضع سياسة واضحة لإدارة دورة حياة الأجهزة الشبكية (Hardware Lifecycle Management).
منع شراء أو نشر أي جهاز وصل إلى نهاية عمره التشغيلي EOL.
توثيق جميع الأصول الشبكية وحالتها في سجل الأصول (Asset Register).
التنسيق مع المركز الوطني الإرشادي للأمن السيبراني (HCC) في حال رصد أي نشاط مشبوه.
◎كيفية الكشف عن الاستغلال
للتأكد من عدم استغلال الجهاز، يُنصح بمراجعة المؤشرات التالية:
فحص سجلات جدار الحماية بحثاً عن اتصالات صادرة غير معتادة من عنوان IP الخاص بالجهاز.
مراقبة استهلاك الباندويدث الشبكي — ارتفاع غير مبرر قد يدل على مشاركة الجهاز في هجمات DDoS.
البحث عن اتصالات قادمة على المنفذ 23 من عناوين خارجية.
استخدام أدوات مسح مثل nmap للتأكد من حالة منفذ Telnet: nmap -p 23 <ip>.
محاولة تسجيل الدخول ببيانات الاعتماد المكشوفة للتحقق من وجود الباب الخلفي (داخل بيئة اختبار مُصرّح بها فقط).
◎دور مزودي خدمات الاستضافة السعوديين
يتحمل مزودو الاستضافة ومراكز البيانات المحلية في المملكة — وبخاصة تلك المرخصة من هيئة الاتصالات والفضاء والتقنية — مسؤولية حماية عملائهم من خلال:
فحص دوري للأجهزة الشبكية الموجودة في مراكز البيانات.
توعية العملاء بمخاطر الأجهزة التي وصلت لنهاية عمرها.
تقديم خدمات استبدال ونقل البنية التحتية إلى أجهزة حديثة ومدعومة.
الالتزام بمتطلبات ISO 27001 في إدارة الأصول والتحكم بالمخاطر.
في 4Jawaly، وبوصفنا شركة سعودية مرخصة من هيئة الاتصالات والفضاء والتقنية (الترخيص رقم 291-10-32) وحاصلة على شهادة ISO 27001، فإننا نؤكد على أهمية اتباع أفضل الممارسات في إدارة دورة حياة الأصول التقنية، وخاصة الأجهزة الشبكية الحساسة.
◎الخلاصة والتوصيات النهائية
تمثل ثغرة CVE-2026-42374 تهديداً دائماً لا يمكن معالجته بالتحديثات البرمجية، والحل الوحيد الفعّال هو الاستبدال الكامل لأجهزة D-Link DIR-600L B1 بأجهزة حديثة مدعومة. إن الاستمرار في استخدام هذه الأجهزة يُعرّض البنية التحتية الشبكية لمخاطر جسيمة، قد تصل إلى اختراق كامل للشبكة وتسريب البيانات الحساسة.
ندعو جميع مسؤولي تقنية المعلومات في المملكة العربية السعودية إلى اتخاذ إجراءات فورية لجرد أجهزتهم الشبكية واستبدال الأجهزة التي وصلت إلى نهاية عمرها، امتثالاً لمتطلبات الهيئة الوطنية للأمن السيبراني، وحمايةً للبيانات الوطنية والشخصية.
الأسئلة الأكثر شيوعاً
ما هي ثغرة CVE-2026-42374 وما مدى خطورتها؟
هي ثغرة حرجة بدرجة 9.8 من 10 تتعلق بوجود باب خلفي مزروع في أجهزة D-Link DIR-600L B1 عبر بروتوكول Telnet، ببيانات اعتماد ثابتة (Alphanetworks / wrgn61_dlwbr_dir600L) تمنح المهاجم صلاحيات الجذر الكاملة.
هل يوجد تحديث أمني متاح لهذه الثغرة؟
لا، الجهاز وصل إلى نهاية دورة حياته (End-of-Life) ولن تصدر D-Link أي تحديثات أمنية. الحل الوحيد هو الاستبدال الكامل للجهاز بجهاز حديث مدعوم.
كيف أعرف إذا كانت شبكتي تحتوي على أجهزة متأثرة؟
قم بجرد الأجهزة الشبكية وابحث عن D-Link DIR-600L Hardware Revision B1، ثم افحص المنفذ 23 باستخدام nmap. أي جهاز مفتوح فيه Telnet يُعتبر عرضة للاستغلال.
ما موقف الهيئة الوطنية للأمن السيبراني من استخدام أجهزة EOL؟
تُلزم الضوابط الأساسية للأمن السيبراني (ECC) من NCA الجهات الحكومية والحيوية بإزالة الأجهزة منتهية الدعم فوراً، لأنها تُشكل خطراً دائماً على البيانات الوطنية.
هل يكفي تعطيل خدمة Telnet من واجهة الإدارة لحل المشكلة؟
لا يكفي بالضرورة، لأن الباب الخلفي مزروع على مستوى النظام عبر /bin/telnetd.sh وقد يُعاد تفعيله تلقائياً عند كل إقلاع. الحل الآمن الوحيد هو الاستبدال الكامل.
