◎مقدمة: ثغرة حرجة تهدد أجهزة D-Link DIR-456U في الشبكات السعودية
كشف باحثون في الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرف CVE-2026-42376 وتُصنّف بدرجة 9.8 (حرجة) على مقياس CVSS v3.1، تؤثر على أجهزة التوجيه (Routers) من طراز D-Link DIR-456U الإصدار A1. الثغرة عبارة عن باب خلفي (Backdoor) مُضمّن في البرنامج الثابت (Firmware) للجهاز عبر خدمة Telnet، مع بيانات اعتماد (Credentials) ثابتة ومشفّرة مسبقاً داخل ملفات النظام، مما يمنح المهاجم صلاحيات الجذر (root) الكاملة دون الحاجة إلى أي تفاعل من المستخدم.
الأخطر من ذلك أن الجهاز وصل إلى نهاية دورة حياته (End-of-Life) ولن تصدر له الشركة المُصنِّعة أي تحديثات أمنية، مما يجعل جميع الأجهزة العاملة حالياً في الشبكات السعودية والخليجية معرضة بشكل دائم للاختراق ما لم يتم استبدالها أو عزلها فوراً.
◎تفاصيل الثغرة التقنية CVE-2026-42376
تكمن الثغرة في وجود خدمة Telnet daemon يتم تشغيلها تلقائياً عند إقلاع الجهاز من خلال سكريبت التهيئة /etc/init0.d/S80telnetd.sh. يقوم هذا السكريبت بتشغيل نسخة مُعدَّلة من خدمة telnetd تستخدم بيانات دخول ثابتة:
اسم المستخدم:Alphanetworks
كلمة المرور الثابتة:whdrv01_dlob_dir456U (يتم قراءتها من الملف /etc/config/image_sign)
تستخدم النسخة المُخصصة من ثنائي telnetd خياراً غير موثّق هو -u user:password لتمرير بيانات الاعتماد، بينما يعتمد ثنائي login المُعدّل على دالة strcmp() البسيطة للتحقق من صحة بيانات الدخول. هذه التصميمة تمثل انتهاكاً صريحاً لمبادئ الأمن السيبراني وتندرج تحت التصنيف CWE-798: استخدام بيانات اعتماد مشفّرة مسبقاً (Use of Hard-coded Credentials).
سيناريو الاستغلال
بمجرد أن يتمكن المهاجم من الوصول إلى الشبكة المحلية التي يتصل بها الجهاز (سواء عبر Wi-Fi أو اتصال سلكي)، يستطيع تنفيذ الأوامر التالية للحصول على صلاحيات جذر كاملة:
◎(root shell granted)بعد الحصول على صلاحيات الجذر، يمكن للمهاجم:اعتراض جميع حركة المرور (Traffic) المارة عبر الراوتر بما فيها كلمات المرور وبيانات الخدمات المصرفية.تعديل إعدادات DNS لإعادة توجيه المستخدمين إلى مواقع تصيّد احتيالي.زرع برمجيات خبيثة دائمة (Persistent Malware) داخل البرنامج الثابت.استخدام الجهاز كنقطة انطلاق (Pivot Point) لمهاجمة باقي أجهزة الشبكة الداخلية.ضم الجهاز إلى شبكات البوت نت (Botnets) مثل Mirai و Mozi.الأنظمة والأجهزة المتأثرة
تؤثر الثغرة بشكل مؤكد على:
D-Link DIR-456U Hardware Revision A1 — جميع إصدارات البرنامج الثابت.
الأجهزة التي وصلت إلى حالة نهاية الدعم (EOL) ولن تتلقى أي تصحيحات.
من المرجح أيضاً أن تكون نماذج مشابهة من نفس العائلة (التي تعتمد على نفس البرنامج الثابت المُصنَّع من Alphanetworks) تحمل ثغرات مماثلة، ويُنصح بفحصها جميعاً.
◎السياق المحلي: لماذا يجب على مدراء الأنظمة في السعودية أخذ هذه الثغرة على محمل الجد؟
وفقاً لتقارير هيئة الاتصالات وتقنية المعلومات (CITC) والهيئة الوطنية للأمن السيبراني (NCA)، تُعدّ أجهزة التوجيه المنزلية والمكتبية من أكثر نقاط الضعف استهدافاً في المملكة العربية السعودية ودول الخليج. العديد من الشركات الصغيرة والمتوسطة، وكذلك المكاتب الفرعية للشركات الكبرى، تعتمد على أجهزة D-Link بسبب توفرها وانخفاض تكلفتها.
كما أن الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة عن NCA تفرض على الجهات الحكومية وشبه الحكومية استبدال الأجهزة التي وصلت لنهاية دعمها فوراً، وتعتبر وجود أجهزة غير مدعومة في الشبكة مخالفة صريحة للضابط 2-3-3 الخاص بإدارة التحديثات والتصحيحات.
مخاطر خاصة بقطاع الاستضافة والمزودين المحليين
إذا كنت تعمل لدى مزود استضافة سعودي أو مركز بيانات محلي، فإن استخدام أي جهاز DIR-456U في شبكات الإدارة خارج النطاق (Out-of-Band Management) أو كحل احتياطي يُعدّ كارثة أمنية قد تؤدي إلى:
انتهاك متطلبات ISO 27001 الخاصة بإدارة الأصول.
مخالفة سياسة حماية البيانات الشخصية (PDPL) السعودية في حال تسرّب بيانات العملاء.
فقدان ترخيص CITC في حالة ثبوت الإهمال في حماية البنية التحتية.
◎الإجراءات التصحيحية العاجلة لمدراء الأنظمة السعوديين
أولاً: الإجراءات الفورية (خلال 24 ساعة)
جرد شامل: قم بفحص جميع أجهزة التوجيه في منشأتك وتحديد أي جهاز DIR-456U A1 باستخدام أدوات مثل nmap أو Shodan للشبكات الداخلية.
عزل الأجهزة المصابة: إذا كان الاستبدال غير ممكن فوراً، اعزل الجهاز في VLAN منفصل بدون وصول إلى الإنترنت أو البيانات الحساسة.
تعطيل Telnet من الشبكة: قم بحظر المنفذ TCP/23 على جميع الجدران النارية (Firewalls) لمنع أي وصول خارجي.
مراقبة حركة المرور: فعّل تسجيل حركة المرور على المنفذ 23 واستخدم أنظمة IDS/IPS مثل Suricata للكشف عن محاولات الاستغلال.
ثانياً: الحل الجذري (خلال أسبوع)
الاستبدال الكامل: الحل الوحيد الفعلي هو استبدال الجهاز بأحد البدائل المدعومة مثل MikroTik أو Cisco أو Ubiquiti أو D-Link من الطرازات الحديثة المدعومة.
التحقق من سلامة الشبكة: افحص الأجهزة المتصلة بالراوتر المصاب للتأكد من عدم تعرضها للاختراق، خاصة فحص DNS settings على أجهزة المستخدمين.
تغيير جميع كلمات المرور: إذا مرت بيانات حساسة عبر الجهاز المصاب، غيّر جميع كلمات المرور للخدمات الداخلية والسحابية.
ثالثاً: التوعية والتوثيق
وثّق الحادثة ضمن سجل إدارة الحوادث وفقاً لضوابط NCA.
أبلغ عن أي محاولة استغلال عبر المركز الوطني الإرشادي للأمن السيبراني.
درّب فريقك على أهمية التحقق من حالة EOL لكل جهاز شبكي قبل الشراء.
◎كيف يمكن لـ 4Jawaly مساعدتك؟
في ظل هذه التهديدات المتصاعدة، توفر فورجوالي (4Jawaly) — الشركة السعودية الحاصلة على ترخيص CITC رقم 291-10-32 وشهادة ISO 27001 — حلول استضافة آمنة في مراكز بيانات محلية تتبع أحدث معايير الأمن السيبراني، بعيداً عن مخاطر الأجهزة منتهية الدعم. كما يمكنك استخدام خدمات SMS وWhatsApp Business API من 4Jawaly لإرسال تنبيهات أمنية فورية لفريق الاستجابة عند رصد أي نشاط مشبوه على شبكتك.
◎كشف الاختراق: مؤشرات التسلل (IoCs)
راقب المؤشرات التالية التي قد تدل على استغلال نشط للثغرة:
اتصالات Telnet واردة من عناوين IP غير معروفة على المنفذ 23.
وجود عمليات غير متوقعة بصلاحيات root في سجلات الجهاز.
تعديلات غير مصرح بها في ملف /etc/config/image_sign.
تغيير إعدادات DNS إلى خوادم غير مألوفة.
ارتفاع غير مبرر في استهلاك النطاق الترددي الصادر.
◎خاتمة: الدرس المستفاد
تؤكد ثغرة CVE-2026-42376 حقيقة مريرة: الأجهزة منتهية الدعم هي قنابل موقوتة في شبكتك. لا يوجد تصحيح، ولا بديل سوى الاستبدال الفوري. على جميع مدراء الأنظمة في المملكة العربية السعودية ودول الخليج اعتماد سياسة صارمة لإدارة دورة حياة الأجهزة (Asset Lifecycle Management) تتضمن متابعة تواريخ EOL ووضع ميزانيات استبدال سنوية. الأمن السيبراني ليس ترفاً بل ضرورة قانونية وتشغيلية في عصر التحول الرقمي الذي تقوده رؤية المملكة 2030.
الأسئلة الأكثر شيوعاً
هل يمكن تصحيح ثغرة CVE-2026-42376 عبر تحديث البرنامج الثابت؟
لا، جهاز D-Link DIR-456U A1 وصل إلى نهاية دورة حياته (EOL) ولن تصدر له الشركة المُصنِّعة أي تحديثات أمنية. الحل الوحيد هو استبدال الجهاز بطراز مدعوم.
هل الثغرة قابلة للاستغلال عن بُعد من خارج الشبكة؟
الاستغلال الأساسي يتطلب الوصول إلى الشبكة المحلية، لكن إذا كان منفذ Telnet (23) مفتوحاً على الإنترنت أو تم اختراق جهاز داخل الشبكة، يصبح الاستغلال عن بُعد ممكناً وخطيراً جداً.
كيف أكتشف وجود أجهزة DIR-456U في شبكتي؟
استخدم أدوات فحص الشبكة مثل nmap مع السكريبت (nmap -sV -p 23 <subnet>) أو راجع قوائم MAC address الخاصة بـ Alphanetworks/D-Link في جدول ARP الخاص بالسويتش.
ما علاقة هذه الثغرة بالامتثال لضوابط NCA في السعودية؟
وجود أجهزة منتهية الدعم يخالف الضابط 2-3-3 من ECC-1:2018 الخاص بإدارة التحديثات، وقد يعرّض المنشأة لمخالفات تنظيمية وعقوبات من الهيئة الوطنية للأمن السيبراني.
هل تكفي إعادة ضبط المصنع (Factory Reset) لإزالة الباب الخلفي؟
لا، الباب الخلفي مُضمّن في البرنامج الثابت نفسه وبيانات الاعتماد مُخزّنة في ملفات النظام الأساسية، لذا إعادة الضبط لن تزيلها. الاستبدال هو الحل الوحيد.
كشف باحثون في مجال الأمن السيبراني عن ثغرة حرجة تحمل المعرّف CVE-2026-42374 في أجهزة التوجيه (الراوتر) من نوع D-Link DIR-600L Hardware Revision B1، والتي تحتوي على باب خلفي (Backdoor) مزروع في الشركة المصنعة عبر بروتوكول Telnet. هذه الثغرة حصلت على درجة خطورة 9.8 من 10 (حرجة) وفقاً لمقياس CVSS، وتسمح لأي مهاجم متصل بالشبكة المحلية بالحصول على صلاحيات الجذر (root) الكاملة على الجهاز دون الحاجة إلى أي مصادقة مشروعة.
ما يزيد من خطورة هذه الثغرة هو أن الجهاز المتأثر قد وصل إلى نهاية دورة حياته (End-of-Life)، مما يعني أن الشركة المصنعة D-Link لن تصدر أي تحديثات أمنية لمعالجة هذه الثغرة، وبالتالي تبقى جميع الأجهزة العاملة حالياً عرضة دائمة للاستغلال.
◎تفاصيل الثغرة التقنية
تعود الثغرة إلى وجود بيانات اعتماد ثابتة ومبرمجة مسبقاً (Hardcoded Credentials) داخل البرنامج الثابت (Firmware) للجهاز، وهو ما يُصنّف ضمن فئة الضعف CWE-798: Use of Hard-coded Credentials. وتتلخص آلية عمل الباب الخلفي في النقاط التالية:
يقوم الجهاز عند الإقلاع بتشغيل خدمة Telnet تلقائياً عبر السكربت /bin/telnetd.sh.
اسم المستخدم المبرمج مسبقاً هو Alphanetworks.
كلمة المرور الثابتة هي wrgn61_dlwbr_dir600L ويتم قراءتها من الملف /etc/alpha_config/image_sign.
تستخدم النسخة المُعدّلة من telnetd خيار -u user:password لتمرير بيانات الاعتماد.
تتحقق دالة login المخصصة من بيانات الاعتماد باستخدام strcmp() فقط.
عند نجاح المصادقة، يحصل المهاجم على shell بصلاحيات الجذر (root) مباشرة.
◎الأنظمة والأجهزة المتأثرة
تؤثر هذه الثغرة بشكل مباشر على:
D-Link DIR-600L – النسخة العتادية Hardware Revision B1.
جميع إصدارات البرنامج الثابت (Firmware) العاملة على هذه النسخة العتادية، لأن الباب الخلفي مزروع في مستوى النظام.
الحالة الرسمية: End-of-Life (EOL) – لن تصدر تحديثات أمنية.
تجدر الإشارة إلى أن أجهزة DIR-600L لا تزال شائعة الاستخدام في المنازل والمكاتب الصغيرة في المملكة العربية السعودية ودول الخليج، خاصة في البيئات التي لم تقم بتحديث بنيتها التحتية الشبكية منذ سنوات.
◎سيناريوهات الاستغلال المحتملة
يمكن للمهاجم استغلال هذه الثغرة في عدة سيناريوهات خطيرة:
1. الاستغلال من الشبكة المحلية (LAN)
يستطيع أي مهاجم متصل بالشبكة الداخلية — سواء عبر Wi-Fi أو عبر منفذ إيثرنت — الاتصال بخدمة Telnet على المنفذ 23 واستخدام بيانات الاعتماد المكشوفة للحصول على صلاحيات root.
2. الاستغلال عن بُعد عبر الإنترنت
في حال كان منفذ Telnet (23) مفتوحاً على واجهة WAN بسبب خطأ في الإعداد أو بسبب إعادة توجيه المنافذ (Port Forwarding)، يصبح الجهاز عرضة للاستغلال من أي مكان في العالم.
3. تحويل الجهاز إلى نقطة انطلاق لهجمات أوسع
بعد الحصول على shell بصلاحيات root، يمكن للمهاجم:
اعتراض حركة المرور الشبكية (Man-in-the-Middle).
سرقة بيانات الاعتماد وجلسات المستخدمين.
تحويل الجهاز إلى جزء من شبكة بوتات (Botnet) مثل Mirai.
شن هجمات حجب الخدمة الموزعة (DDoS) ضد أهداف أخرى.
التمحور (Pivoting) نحو أجهزة أخرى داخل الشبكة الداخلية.
زرع برامج ضارة مستمرة في البرنامج الثابت.
◎الخطورة على البيئة السعودية والخليجية
تكتسب هذه الثغرة أهمية خاصة في السياق السعودي والخليجي لعدة أسباب:
الانتشار الواسع للأجهزة المنزلية والمكتبية: لا تزال أجهزة D-Link منتشرة في المنازل والمكاتب الصغيرة والمتوسطة (SMBs) في المملكة.
التوجه الوطني نحو رؤية 2030: تعتمد خطط التحول الرقمي على بنية شبكية آمنة، وأي جهاز مخترق يُشكل تهديداً للمبادرات الحكومية والخاصة.
متطلبات هيئة الاتصالات والفضاء والتقنية (CST/CITC): تفرض الهيئة معايير صارمة على مشغلي الشبكات ومزودي خدمات الاستضافة للحفاظ على أمن الأجهزة المتصلة.
الضوابط الأساسية للأمن السيبراني (ECC) من الهيئة الوطنية للأمن السيبراني (NCA): تُلزم الجهات الحكومية والحيوية بإزالة الأجهزة التي وصلت إلى نهاية عمرها التشغيلي.
◎خطوات عملية لمسؤولي الاستضافة وتقنية المعلومات في السعودية
الإجراء الفوري: العزل والاستبدال
نظراً لعدم وجود تحديث أمني متاح، فإن الحل الوحيد الفعّال هو:
جرد الأجهزة: قم بفحص شامل للبنية التحتية الشبكية للتعرف على أي أجهزة D-Link DIR-600L B1.
الاستبدال الفوري: قم باستبدال الأجهزة المتأثرة بأجهزة حديثة مدعومة من الشركة المصنعة وتتلقى تحديثات أمنية منتظمة.
العزل المؤقت: في حال تعذر الاستبدال الفوري، ضع الجهاز في شبكة معزولة (VLAN) خلف جدار حماية صارم.
تدابير تقنية للتخفيف المؤقت
تعطيل Telnet: قم بتعطيل خدمة Telnet من واجهة الإدارة إن أمكن (رغم أن الباب الخلفي قد يبقى نشطاً في مستوى النظام).
إغلاق المنفذ 23: تأكد من أن المنفذ 23 (Telnet) مُغلق تماماً على واجهة WAN.
تقسيم الشبكة (Network Segmentation): افصل الأجهزة غير الموثوقة في شبكة فرعية مستقلة.
مراقبة حركة المرور: استخدم أدوات IDS/IPS لرصد أي محاولات اتصال على المنفذ 23.
قائمة التحكم في الوصول (ACL): قيّد الوصول إلى واجهة الإدارة بعناوين IP محددة فقط.
تدابير إدارية وتنظيمية
وضع سياسة واضحة لإدارة دورة حياة الأجهزة الشبكية (Hardware Lifecycle Management).
منع شراء أو نشر أي جهاز وصل إلى نهاية عمره التشغيلي EOL.
توثيق جميع الأصول الشبكية وحالتها في سجل الأصول (Asset Register).
التنسيق مع المركز الوطني الإرشادي للأمن السيبراني (HCC) في حال رصد أي نشاط مشبوه.
◎كيفية الكشف عن الاستغلال
للتأكد من عدم استغلال الجهاز، يُنصح بمراجعة المؤشرات التالية:
فحص سجلات جدار الحماية بحثاً عن اتصالات صادرة غير معتادة من عنوان IP الخاص بالجهاز.
مراقبة استهلاك الباندويدث الشبكي — ارتفاع غير مبرر قد يدل على مشاركة الجهاز في هجمات DDoS.
البحث عن اتصالات قادمة على المنفذ 23 من عناوين خارجية.
استخدام أدوات مسح مثل nmap للتأكد من حالة منفذ Telnet: nmap -p 23 <ip>.
محاولة تسجيل الدخول ببيانات الاعتماد المكشوفة للتحقق من وجود الباب الخلفي (داخل بيئة اختبار مُصرّح بها فقط).
◎دور مزودي خدمات الاستضافة السعوديين
يتحمل مزودو الاستضافة ومراكز البيانات المحلية في المملكة — وبخاصة تلك المرخصة من هيئة الاتصالات والفضاء والتقنية — مسؤولية حماية عملائهم من خلال:
فحص دوري للأجهزة الشبكية الموجودة في مراكز البيانات.
توعية العملاء بمخاطر الأجهزة التي وصلت لنهاية عمرها.
تقديم خدمات استبدال ونقل البنية التحتية إلى أجهزة حديثة ومدعومة.
الالتزام بمتطلبات ISO 27001 في إدارة الأصول والتحكم بالمخاطر.
في 4Jawaly، وبوصفنا شركة سعودية مرخصة من هيئة الاتصالات والفضاء والتقنية (الترخيص رقم 291-10-32) وحاصلة على شهادة ISO 27001، فإننا نؤكد على أهمية اتباع أفضل الممارسات في إدارة دورة حياة الأصول التقنية، وخاصة الأجهزة الشبكية الحساسة.
◎الخلاصة والتوصيات النهائية
تمثل ثغرة CVE-2026-42374 تهديداً دائماً لا يمكن معالجته بالتحديثات البرمجية، والحل الوحيد الفعّال هو الاستبدال الكامل لأجهزة D-Link DIR-600L B1 بأجهزة حديثة مدعومة. إن الاستمرار في استخدام هذه الأجهزة يُعرّض البنية التحتية الشبكية لمخاطر جسيمة، قد تصل إلى اختراق كامل للشبكة وتسريب البيانات الحساسة.
ندعو جميع مسؤولي تقنية المعلومات في المملكة العربية السعودية إلى اتخاذ إجراءات فورية لجرد أجهزتهم الشبكية واستبدال الأجهزة التي وصلت إلى نهاية عمرها، امتثالاً لمتطلبات الهيئة الوطنية للأمن السيبراني، وحمايةً للبيانات الوطنية والشخصية.
الأسئلة الأكثر شيوعاً
ما هي ثغرة CVE-2026-42374 وما مدى خطورتها؟
هي ثغرة حرجة بدرجة 9.8 من 10 تتعلق بوجود باب خلفي مزروع في أجهزة D-Link DIR-600L B1 عبر بروتوكول Telnet، ببيانات اعتماد ثابتة (Alphanetworks / wrgn61_dlwbr_dir600L) تمنح المهاجم صلاحيات الجذر الكاملة.
هل يوجد تحديث أمني متاح لهذه الثغرة؟
لا، الجهاز وصل إلى نهاية دورة حياته (End-of-Life) ولن تصدر D-Link أي تحديثات أمنية. الحل الوحيد هو الاستبدال الكامل للجهاز بجهاز حديث مدعوم.
كيف أعرف إذا كانت شبكتي تحتوي على أجهزة متأثرة؟
قم بجرد الأجهزة الشبكية وابحث عن D-Link DIR-600L Hardware Revision B1، ثم افحص المنفذ 23 باستخدام nmap. أي جهاز مفتوح فيه Telnet يُعتبر عرضة للاستغلال.
ما موقف الهيئة الوطنية للأمن السيبراني من استخدام أجهزة EOL؟
تُلزم الضوابط الأساسية للأمن السيبراني (ECC) من NCA الجهات الحكومية والحيوية بإزالة الأجهزة منتهية الدعم فوراً، لأنها تُشكل خطراً دائماً على البيانات الوطنية.
هل يكفي تعطيل خدمة Telnet من واجهة الإدارة لحل المشكلة؟
لا يكفي بالضرورة، لأن الباب الخلفي مزروع على مستوى النظام عبر /bin/telnetd.sh وقد يُعاد تفعيله تلقائياً عند كل إقلاع. الحل الآمن الوحيد هو الاستبدال الكامل.
