شعار منصة فورجوالي الرسمي - خدمات الرسائل والواتساب والاستضافة
تسجيل الدخول
شعار فورجوالي
شعار منصة فورجوالي الرسمي - خدمات الرسائل والواتساب والاستضافة
تسجيل الدخول
تسجيل الدخول

الوسم: الهيئة الوطنية للأمن السيبراني

ثغرة حرجة CVE-2026-42088 في OpenC3 COSMOS تسمح بتجاوز صلاحيات الإدارة عبر Redis و Docker

Posted on by wpadmin

مقدمة حول الثغرة CVE-2026-42088

أُعلن مؤخرًا عن ثغرة أمنية حرجة تحمل المعرّف CVE-2026-42088 تؤثر على منصة OpenC3 COSMOS، وهي منصة مفتوحة المصدر تُستخدم على نطاق واسع في إرسال الأوامر إلى الأنظمة المدمجة (Embedded Systems) واستقبال البيانات منها، وتُوظَّف في قطاعات حساسة مثل الفضاء، الطيران، الدفاع، والأبحاث العلمية. حصلت هذه الثغرة على تقييم CVSS 9.6 ضمن الفئة الحرجة، مما يجعلها من أخطر الثغرات التي ظهرت في هذا النوع من الأنظمة خلال الفترة الأخيرة.

تكتسب هذه الثغرة أهمية خاصة لدى مديري الاستضافة ومهندسي البنية التحتية في المملكة العربية السعودية ودول الخليج، لا سيما أولئك الذين يديرون بيئات مبنية على حاويات Docker وقواعد بيانات Redis، وهما المكونان المركزيان اللذان استُغلّا في هذه الثغرة.

التفاصيل التقنية للثغرة

تنشأ الثغرة في منصة OpenC3 COSMOS في الإصدارات السابقة لـ 7.0.0-rc3، تحديدًا داخل مكوّن Script Runner، وهو أداة تسمح للمستخدمين بتنفيذ نصوص برمجية بلغتي Python وRuby مباشرةً من حاوية openc3-COSMOS-script-runner-api.

المشكلة الجوهرية أن جميع حاويات Docker الخاصة بالمنصة تتشارك نفس شبكة Docker الداخلية (Docker Network)، مما يعني أن أي مستخدم لديه صلاحية تشغيل السكربتات يمكنه صياغة سكربت مخصّص يتجاوز طبقة فحص الصلاحيات في الـ API ويتصل مباشرةً بأي خدمة داخل الشبكة، ومنها:

  • قاعدة بيانات Redis: قراءة وتعديل البيانات الحساسة، بما فيها الأسرار (Secrets) وإعدادات COSMOS.
  • خدمة Buckets: قراءة وكتابة ملفات الإعدادات والسجلات (Logs) وملفات الإضافات (Plugins).
  • خدمات إدارية أخرى: كانت في الأصل مقتصرة على لوحة الإدارة (Admin Console) أو على المستخدمين ذوي الصلاحيات الإدارية.

تصنّف هذه الثغرة ضمن CWE-250 (Execution with Unnecessary Privileges)، أي تنفيذ العمليات بامتيازات أعلى من اللازم، وهي من أخطر فئات الضعف الأمني، إذ تسمح بالتحايل على حدود الصلاحيات بين مكونات النظام.

سيناريو الاستغلال

رسم يوضح حاويات Docker تتجاوز جدارا ناريا نحو Redis في OpenC3 COSMOS

لنفترض أن مؤسسة سعودية تشغّل منصة OpenC3 COSMOS لإدارة أقمار صناعية صغيرة (CubeSats) أو أنظمة قياس تليمتري. في الوضع الطبيعي، يُمنح بعض المهندسين صلاحية كتابة وتشغيل السكربتات من أجل المهام التشغيلية اليومية، دون أن تكون لديهم صلاحيات إدارية.

وفق هذه الثغرة، يستطيع أي مهندس (أو مهاجم حصل على حسابه) كتابة سكربت Python بسيط يتصل مباشرةً بعنوان Redis الداخلي داخل شبكة Docker:

  • استخراج مفاتيح التشفير والأسرار المخزّنة.
  • تعديل إعدادات المنصة لتعطيل آليات الحماية.
  • رفع ملفات إضافات خبيثة إلى خدمة Buckets لتُنفَّذ لاحقًا بصلاحيات عالية.
  • الوصول إلى سجلات العمليات وحذفها لإخفاء الآثار.

النتيجة: تصعيد كامل للصلاحيات (Privilege Escalation) من مستخدم عادي إلى مدير نظام، مع إمكانية تعطيل العمليات الحرجة أو تسريب بيانات حساسة.

الأنظمة والإصدارات المتأثرة

  • المنتج: OpenC3 COSMOS
  • الإصدارات المتأثرة: جميع الإصدارات السابقة لـ 7.0.0-rc3
  • الإصدار الآمن: 7.0.0-rc3 فما فوق (ويُنصح بالترقية إلى 7.0.0 المستقرة)
  • المكونات المتأثرة: Script Runner API، شبكة Docker الداخلية، Redis، خدمة Buckets

تقييم الخطورة والتأثير

رسم يوضح اختراق حاوية OpenC3 COSMOS وتجاوز الجدار للوصول إلى Redis وDocker

بتقييم CVSS يبلغ 9.6، تُعدّ هذه الثغرة حرجة للأسباب التالية:

  • سهولة الاستغلال: لا تتطلب سوى صلاحية تشغيل السكربتات، وهي صلاحية شائعة للمستخدمين العاديين.
  • تأثير واسع: يشمل السرية (قراءة الأسرار)، والسلامة (تعديل الإعدادات)، والتوفّر (تعطيل الخدمات).
  • إمكانية الحركة الجانبية (Lateral Movement): الوصول إلى جميع الخدمات داخل شبكة Docker المشتركة.
  • صعوبة الاكتشاف: الاتصال يتم من داخل الشبكة الموثوقة، مما يُضعف فاعلية أنظمة كشف التسلل التقليدية.

الإجراءات الموصى بها لمديري الاستضافة في السعودية

1. الترقية الفورية

الحل الرسمي هو الترقية إلى الإصدار OpenC3 COSMOS 7.0.0-rc3 أو أحدث. يُنصح بما يلي:

  • مراجعة ملاحظات الإصدار على صفحة الإصدار الرسمية.
  • إجراء نسخة احتياطية كاملة من إعدادات Redis وملفات Buckets قبل الترقية.
  • اختبار الترقية في بيئة تجريبية (Staging) قبل تطبيقها على الإنتاج.

2. الإجراءات الاحترازية المؤقتة

في حال تعذّر الترقية الفورية، يمكن تطبيق الإجراءات التالية:

  • تقييد صلاحيات Script Runner: سحب صلاحية تشغيل السكربتات من جميع المستخدمين غير الإداريين.
  • عزل شبكات Docker: فصل حاوية Script Runner في شبكة Docker مستقلة عن حاويات Redis وBuckets.
  • تمكين مصادقة Redis: ضبط كلمة مرور قوية عبر requirepass وتفعيل Redis ACLs للحد من الأوامر المتاحة.
  • مراقبة السجلات: تفعيل التسجيل الكامل لجميع العمليات داخل Script Runner وتحليلها دوريًا.

3. تعزيز حماية بيئة Docker

  • تطبيق مبدأ الامتيازات الأدنى (Least Privilege) على جميع الحاويات.
  • استخدام Docker Secrets بدلًا من متغيرات البيئة لتخزين البيانات الحساسة.
  • تفعيل Network Policies داخل Kubernetes إن وُجد.
  • مراجعة سياسات Seccomp وAppArmor للحاويات.

4. مراجعة السجلات بحثًا عن دلائل اختراق

يجب على فرق الأمن في المؤسسات السعودية فحص:

  • سجلات Script Runner بحثًا عن سكربتات تتضمن اتصالات شبكية غير معتادة.
  • سجلات Redis بحثًا عن أوامر CONFIG GET، KEYS *، أو FLUSHALL غير المألوفة.
  • سجلات Buckets بحثًا عن رفع ملفات مشبوهة أو تعديلات على ملفات الإضافات.

السياق المحلي: المملكة العربية السعودية

رسم يوضح ثغرة OpenC3 COSMOS بين Docker وRedis وتجاوز صلاحيات الإدارة

تمتلك المملكة العربية السعودية استثمارات متنامية في قطاع الفضاء والاتصالات الفضائية، مدعومة من الهيئة السعودية للفضاء وهيئة الاتصالات والفضاء والتقنية (CST/CITC). كما أن رؤية 2030 تدفع نحو توطين التقنيات المتقدمة، بما فيها منصات التحكم والتليمتري المفتوحة المصدر مثل OpenC3 COSMOS.

وبناءً على الإطار التنظيمي السعودي، تُلزم الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA) المؤسسات الوطنية بـ:

  • إدارة الثغرات وسد القصور خلال فترة زمنية محددة وفقًا لدرجة الخطورة.
  • تطبيق مبدأ الفصل بين البيئات وتقييد الصلاحيات.
  • مراقبة الأحداث الأمنية والاستجابة للحوادث.

كما أن اللائحة التنفيذية لـ نظام حماية البيانات الشخصية (PDPL) تُلزم الجهات بحماية البيانات المستضافة في مراكز البيانات المحلية، وأي اختراق لمنصة تحكم كهذه قد يُشكّل انتهاكًا يستوجب الإبلاغ.

يُنصح مديرو الاستضافة في مراكز البيانات السعودية — سواء لدى مزودي الخدمات الوطنيين أو السحابات المحلية مثل سحابة STC، Mobily، أو سحابة الوطنية (NCloud) — بإصدار تعميم داخلي فوري للعملاء الذين يشغّلون OpenC3 COSMOS، وتقديم الدعم الفني لترقية البيئات المتأثرة.

الدروس المستفادة

تُذكّرنا هذه الثغرة بأن الثقة الضمنية داخل شبكات Docker تمثّل خطرًا حقيقيًا. فكثير من فرق التطوير تفترض أن الخدمات الداخلية للشبكة آمنة بحكم عدم تعرّضها للإنترنت، متجاهلةً أن أي مكوّن قابل للتحكم من قِبل المستخدم (مثل Script Runner) يمكن أن يتحوّل إلى نقطة انطلاق للهجوم.

من أفضل الممارسات:

  • تطبيق نموذج Zero Trust حتى داخل الشبكات الخاصة.
  • استخدام mTLS بين الخدمات الداخلية.
  • فرض مصادقة قوية على جميع قواعد البيانات الداخلية، بما فيها Redis.
  • إجراء اختبارات اختراق دورية تشمل سيناريوهات التصعيد الجانبي داخل Docker.

خدمات 4jawaly الداعمة للأمن السيبراني

في فورجوالي (4jawaly)، وبصفتنا شركة سعودية مرخّصة من هيئة الاتصالات والفضاء والتقنية (CITC برقم 291-10-32) وحاصلة على شهادة ISO 27001، نقدّم خدمات استضافة آمنة وحلول تنبيه فوري عبر الرسائل النصية وWhatsApp Business API، مما يساعد فرق الأمن على:

  • إرسال تنبيهات فورية لفريق الاستجابة للحوادث عند اكتشاف ثغرات حرجة.
  • إشعار العملاء والمستخدمين بنوافذ الصيانة اللازمة لتطبيق التصحيحات.
  • أتمتة الإشعارات الأمنية عبر روبوتات الدردشة الذكية المبنية على الذكاء الاصطناعي.

خاتمة

تُعدّ ثغرة CVE-2026-42088 تذكيرًا حازمًا بأهمية تطبيق مبدأ الامتيازات الأدنى وعدم الوثوق في عزل الشبكات وحده. على جميع المؤسسات السعودية التي تستخدم OpenC3 COSMOS أن تُسارع بالترقية إلى الإصدار 7.0.0-rc3 أو أحدث، مع مراجعة شاملة لبيئات Docker وRedis لديها، وتطبيق طبقات الحماية الإضافية قبل أن يُستغلّ الضعف من قِبل جهات خبيثة داخلية أو خارجية.

الأسئلة الأكثر شيوعاً

ما هي ثغرة CVE-2026-42088 باختصار؟
هي ثغرة حرجة في منصة OpenC3 COSMOS قبل الإصدار 7.0.0-rc3، تسمح لأي مستخدم لديه صلاحية تشغيل السكربتات بتجاوز فحوصات صلاحيات الـ API والوصول مباشرةً إلى Redis وخدمات Docker الداخلية، وتنفيذ عمليات إدارية بما فيها قراءة الأسرار وتعديل الإعدادات.
كيف أعرف إن كانت بيئتي متأثرة؟
إذا كنت تستخدم OpenC3 COSMOS بأي إصدار سابق لـ 7.0.0-rc3 وتعتمد على نشر Docker الافتراضي بشبكة مشتركة بين الحاويات، فبيئتك متأثرة. راجع وسم الإصدار عبر الأمر docker image ls أو من لوحة الإدارة.
ما الإجراء الفوري المطلوب؟
الترقية إلى الإصدار 7.0.0-rc3 أو أحدث (يفضّل 7.0.0 المستقرة). وحتى إتمام الترقية، قم بسحب صلاحية Script Runner من المستخدمين غير الإداريين، وتفعيل مصادقة Redis عبر requirepass، وعزل الحاويات في شبكات Docker منفصلة.
هل تنطبق ضوابط الهيئة الوطنية للأمن السيبراني (NCA) على معالجة هذه الثغرة؟
نعم، تُلزم الضوابط الأساسية للأمن السيبراني ECC-1:2018 الجهات الوطنية بإدارة الثغرات ضمن جدول زمني محدد حسب الخطورة، وبما أن هذه الثغرة حرجة (CVSS 9.6) فيجب معالجتها بأسرع وقت، مع توثيق الإجراءات المتخذة.
كيف يمكن لخدمات 4jawaly مساعدتي في إدارة الحادث؟
توفّر 4jawaly خدمات تنبيه فوري عبر SMS وWhatsApp Business API لإشعار فرق الاستجابة للحوادث والعملاء بنوافذ الصيانة، بالإضافة إلى استضافة آمنة متوافقة مع ISO 27001 ومرخّصة من CITC لدعم البنية التحتية الحساسة.

مقالات ذات صلة

مشاهدة المزيد

ثغرة حرجة في راوتر D-Link DIR-605L: باب خلفي Telnet مضمّن وبيانات اعتماد ثابتة

Posted on by wpadmin

مقدمة: تهديد خطير يمس أجهزة التوجيه المنزلية والمكتبية في المملكة

كشف باحثو الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرّف CVE-2026-42373 بدرجة CVSS تصل إلى 9.8 (حرجة)، تصيب أجهزة التوجيه من نوع D-Link DIR-605L Hardware Revision B2. تكمن خطورة هذه الثغرة في وجود باب خلفي (Backdoor) مضمّن داخل البرنامج الثابت (Firmware) للجهاز، يسمح لأي مهاجم متصل بالشبكة المحلية بالحصول على صلاحيات الجذر (Root) الكاملة دون الحاجة إلى اختراق أو تخمين كلمات المرور الخاصة بالمستخدم.

الأخطر من ذلك أن هذا الطراز قد وصل إلى مرحلة نهاية الدعم الفني (End-of-Life – EOL)، ما يعني أن الشركة المصنّعة لن تُصدر أي تحديثات أمنية لمعالجة هذه الثغرة، وهو ما يجعل ملايين الأجهزة المنتشرة حول العالم – بما فيها المملكة العربية السعودية ودول الخليج – أهدافاً سهلة للمهاجمين.

تفاصيل الثغرة التقنية

أوضح التحليل الفني أن البرنامج الثابت لجهاز D-Link DIR-605L B2 يحتوي على سكربت تمهيد (Boot Script) باسم /bin/telnetd.sh يقوم تلقائياً عند إقلاع الجهاز بتشغيل خدمة telnet daemon بصلاحيات مرتفعة. وتقوم هذه الخدمة بقراءة بيانات الاعتماد من ملف ثابت داخل نظام الملفات:

  • اسم المستخدم: Alphanetworks
  • كلمة المرور الثابتة: wrgn76_dlwbr_dir605L
  • مسار ملف بيانات الاعتماد: /etc/alpha_config/image_sign

يستخدم الجهاز نسخة مخصّصة من ثنائي telnetd يقبل معامل -u user:password، بينما تستخدم النسخة المخصّصة من ثنائي login دالة strcmp() للتحقق من صحة بيانات الدخول. وبمجرد نجاح المصادقة، يحصل المهاجم على غلاف جذر (Root Shell) بصلاحيات إدارية كاملة على الجهاز.

تصنيف الثغرة ضمن معايير CWE

مسؤول تقنية سعودي يفحص راوتر D-Link DIR-605L مع قفل وتحذير ثغرة Telnet

تندرج هذه الثغرة تحت التصنيف CWE-798: Use of Hard-coded Credentials (استخدام بيانات اعتماد مضمّنة بشكل ثابت)، وهو من أخطر التصنيفات الأمنية لأنه:

  • لا يمكن للمستخدم النهائي تغيير هذه البيانات أو إزالتها.
  • يمكن استخراجها بسهولة من صورة البرنامج الثابت باستخدام أدوات الهندسة العكسية.
  • تكون هذه البيانات عادةً متطابقة على جميع الأجهزة من نفس الطراز، ما يعني أن اكتشاف كلمة مرور واحدة يكشف ملايين الأجهزة.

الأنظمة المتأثرة

تشمل الأجهزة المعرّضة للخطر ما يلي:

  • D-Link DIR-605L Hardware Revision B2 – جميع إصدارات البرنامج الثابت.
  • الجهاز وصل إلى مرحلة نهاية الدعم (EOL) ولن يتلقى أي تحديثات أمنية مستقبلية من الشركة المصنّعة.

تجدر الإشارة إلى أن هذا الطراز كان من الأكثر انتشاراً في الأسواق العربية خلال السنوات الماضية، وقد يكون لا يزال مستخدماً في المنازل، المكاتب الصغيرة والمتوسطة، وبعض الفروع البعيدة للشركات والمؤسسات في المملكة ودول الخليج.

سيناريو الاستغلال وخطورته

رسم يوضح مخاطر ثغرة D-Link DIR-605L مع قفل رقمي وتنبيه أمني

يستطيع المهاجم استغلال هذه الثغرة عبر الخطوات التالية:

  1. الاتصال بالشبكة المحلية التي يتواجد فيها الجهاز (سواء عبر Wi-Fi أو شبكة سلكية).
  2. إجراء مسح للشبكة لتحديد عنوان IP الخاص بالراوتر والمنافذ المفتوحة (خاصةً منفذ 23 – Telnet).
  3. الاتصال بخدمة Telnet باستخدام بيانات الاعتماد المضمّنة.
  4. الحصول فوراً على صلاحيات Root كاملة.

الآثار المحتملة لنجاح الاستغلال تشمل:

  • اعتراض وتعديل حركة مرور الشبكة بالكامل (Man-in-the-Middle).
  • سرقة بيانات الاعتماد الخاصة بالبنوك، البريد الإلكتروني، وحسابات العمل.
  • تحويل الراوتر إلى عقدة ضمن شبكة Botnet لتنفيذ هجمات DDoS.
  • استخدام الجهاز كنقطة انطلاق لاختراق أجهزة أخرى داخل الشبكة الداخلية.
  • تعديل إعدادات DNS لتوجيه المستخدمين إلى مواقع تصيّد احتيالي.
  • زرع برمجيات خبيثة دائمة في البرنامج الثابت يصعب اكتشافها وإزالتها.

السياق المحلي: لماذا يجب على مسؤولي الأنظمة في المملكة الاهتمام؟

تولي هيئة الاتصالات والفضاء والتقنية (CST) – المعروفة سابقاً بهيئة الاتصالات وتقنية المعلومات (CITC) – اهتماماً كبيراً بأمن الأجهزة المتصلة بالشبكات في المملكة، في ظل رؤية 2030 والتحول الرقمي الشامل. كما تُصدر الهيئة الوطنية للأمن السيبراني (NCA) باستمرار توجيهات وضوابط تلزم الجهات الحكومية والقطاعات الحيوية بتطبيق أفضل الممارسات الأمنية.

إن استخدام أجهزة منتهية الدعم الفني مثل D-Link DIR-605L B2 يُعدّ مخالفة صريحة لعدة ضوابط من الضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن NCA، خاصةً ما يتعلق بـ:

  • ضابط إدارة الأصول التقنية (ECC-2-1).
  • ضابط إدارة الثغرات (ECC-2-10).
  • ضابط حماية الشبكات (ECC-2-5).

كما أن شركات الاستضافة السعودية والمزودين المحليين لخدمات الإنترنت يجب أن يحذّروا عملاءهم من استخدام هذه الأجهزة، خاصةً في البيئات التي تتعامل مع بيانات حساسة أو مدفوعات إلكترونية.

خطوات عملية لمسؤولي الأنظمة في المملكة ودول الخليج

1. الاستبدال الفوري للأجهزة المتأثرة

مسؤول تقنية سعودي يفحص ثغرة D-Link DIR-605L مع راوتر مقيد وتنبيه أمني

الحل الوحيد الجذري لهذه الثغرة هو استبدال الجهاز بالكامل بطراز حديث يتلقى تحديثات أمنية منتظمة. يُنصح باختيار أجهزة من شركات موثوقة تدعم معايير الأمان الحديثة مثل WPA3 وتلتزم بتحديثات البرنامج الثابت لسنوات عديدة.

2. إجراءات تخفيف مؤقتة (إذا تعذّر الاستبدال الفوري)

  • عزل الجهاز في شبكة VLAN منفصلة بعيداً عن الأنظمة الحساسة.
  • تعطيل منفذ Telnet (23) عبر جدار الحماية الخارجي إن أمكن.
  • تفعيل فلترة عناوين MAC للحدّ من الأجهزة التي يمكنها الاتصال بالشبكة.
  • مراقبة سجلات حركة المرور الصادرة والواردة للكشف عن أي نشاط غير طبيعي.
  • تعطيل الإدارة عن بُعد عبر الواجهة الخارجية (WAN).

3. مسح الشبكة لاكتشاف الأجهزة المتأثرة

يمكن استخدام أدوات مثل nmap لمسح الشبكة الداخلية والبحث عن منفذ Telnet المفتوح:

nmap -p 23 --open 192.168.1.0/24

كما يمكن استخدام أدوات إدارة الأصول مثل Lansweeper أو Rumble لتحديد جميع الأجهزة من نوع DIR-605L في البيئة المؤسسية.

4. تطبيق مبدأ الثقة الصفرية (Zero Trust)

يُوصى بعدم الوثوق في أي جهاز متصل بالشبكة الداخلية، وتطبيق سياسات تقسيم دقيقة للشبكة (Microsegmentation)، بحيث لا يستطيع جهاز مخترق الوصول إلى موارد حساسة.

5. تعزيز المراقبة الأمنية

يجب تفعيل حلول رصد الشبكة مثل IDS/IPS وربطها بنظام SIEM مركزي، والبحث تحديداً عن:

  • محاولات اتصال Telnet داخل الشبكة.
  • استخدام اسم المستخدم Alphanetworks.
  • تغييرات غير معتادة في إعدادات DNS لأجهزة المستخدمين.

دور 4jawaly في دعم الأمن السيبراني للمؤسسات السعودية

في ظل تزايد التهديدات السيبرانية، تحرص شركة فورجوالي (4jawaly) – المرخّصة من هيئة الاتصالات والفضاء والتقنية (CST) برقم 291-10-32 والحاصلة على شهادة ISO 27001 – على تقديم خدمات اتصالات وحلول استضافة تلتزم بأعلى معايير الأمان. تشمل خدماتنا:

  • خدمات الرسائل النصية القصيرة (SMS) الآمنة لتنبيه المستخدمين عن أي نشاط مشبوه.
  • واجهات WhatsApp Business API للتواصل الآمن مع العملاء.
  • حلول استضافة ويب محلية داخل مراكز بيانات سعودية موثوقة.
  • روبوتات محادثة ذكية (AI Chatbots) لتعزيز خدمة العملاء.

التوصيات النهائية

نظراً لخطورة ثغرة CVE-2026-42373 ودرجة CVSS العالية (9.8)، ولأن الجهاز المتأثر وصل إلى نهاية دعمه الفني، فإن التوصية القاطعة هي:

  1. التوقف فوراً عن استخدام جهاز D-Link DIR-605L B2 في أي بيئة إنتاجية أو حساسة.
  2. استبداله بطراز حديث مدعوم رسمياً.
  3. مراجعة جميع أجهزة الشبكة ضمن دورة حياة منتظمة للتأكد من عدم استخدام أجهزة منتهية الدعم.
  4. تطبيق سياسة واضحة لإدارة دورة حياة الأصول التقنية ضمن منظومة الحوكمة الأمنية.

الخاتمة

تُمثّل ثغرة CVE-2026-42373 مثالاً صارخاً على مخاطر الأبواب الخلفية المضمّنة في أجهزة الشبكات، وعلى خطورة الاستمرار في استخدام أجهزة منتهية الدعم. نحثّ جميع مسؤولي تقنية المعلومات ومديري الاستضافة في المملكة العربية السعودية ودول الخليج على التحرك السريع لتقييم بيئاتهم واستبدال الأجهزة المتأثرة قبل أن تُستغل هذه الثغرة على نطاق واسع.

الأسئلة الأكثر شيوعاً

ما مدى خطورة ثغرة CVE-2026-42373؟
الثغرة مصنّفة حرجة بدرجة CVSS 9.8 من 10، وتسمح لأي مهاجم على الشبكة المحلية بالحصول على صلاحيات Root كاملة على الجهاز دون الحاجة إلى أي مصادقة فعلية.
هل ستُصدر D-Link تحديثاً لإصلاح الثغرة؟
لا. جهاز DIR-605L Hardware Revision B2 وصل إلى نهاية الدعم الفني (EOL)، ولن تُصدر الشركة أي تحديثات أمنية. الحل الوحيد هو استبدال الجهاز.
كيف يمكنني معرفة ما إذا كانت شبكتي تستخدم هذا الجهاز؟
يمكن استخدام أدوات مسح الشبكة مثل nmap للبحث عن منفذ Telnet المفتوح (23)، أو مراجعة ملصق الجهاز للتأكد من الطراز والإصدار (Hardware Revision B2).
هل يكفي تغيير كلمة مرور الراوتر لحل المشكلة؟
لا. كلمة المرور مضمّنة بشكل ثابت في البرنامج الثابت ولا يمكن تغييرها من واجهة المستخدم. الحل الوحيد هو استبدال الجهاز.
ما علاقة هذه الثغرة بضوابط الهيئة الوطنية للأمن السيبراني؟
استخدام أجهزة منتهية الدعم يخالف ضوابط ECC المتعلقة بإدارة الأصول التقنية وإدارة الثغرات وحماية الشبكات، وقد يعرّض المؤسسة للمساءلة التنظيمية.

مقالات ذات صلة

مشاهدة المزيد

ثغرة حرجة في Apache Polaris تسمح بالوصول العابر للجداول عبر S3

Posted on by wpadmin

نظرة عامة على الثغرة CVE-2026-42810

كشفت مؤسسة Apache Software Foundation عن ثغرة أمنية حرجة في منصة Apache Polaris، وهي كتالوج بيانات مفتوح المصدر يُستخدم على نطاق واسع مع تنسيق جداول Apache Iceberg لإدارة بحيرات البيانات (Data Lakes) في البيئات السحابية. حملت الثغرة المعرّف CVE-2026-42810 وحصلت على درجة خطورة مرتفعة للغاية تبلغ 9.9 من 10 وفقًا لمعيار CVSS v3.1، ما يضعها في الفئة الحرجة.

تنبع الثغرة من قبول Apache Polaris للحرف الخاص (النجمة) داخل أسماء مساحات الأسماء (Namespaces) وأسماء الجداول (Tables) دون تهريب (Escaping)، ثم إعادة استخدام هذه الأحرف في بناء سياسات IAM المؤقتة الخاصة بخدمة Amazon S3 عند منح صلاحيات الوصول المفوّض (Delegated Access). وبما أن خدمة S3 IAM تعامل الرمز باعتباره بطاقة عمومية (Wildcard) وليس نصًا عاديًا، فإن بيانات الاعتماد المؤقتة الممنوحة لجدول مصمم بعناية يمكن أن تطابق مسارات تخزين جداول أخرى تمامًا.

تفاصيل تقنية دقيقة

تصنف الثغرة تحت CWE-20: Improper Input Validation (التحقق غير السليم من المدخلات). السيناريو الهجومي يتم على النحو التالي:

  • يقوم المهاجم بإنشاء جدول بأسماء تحتوي على أحرف بدل مثل f*.t1 أو . أو foo..
  • يطلب المهاجم بيانات اعتماد S3 مؤقتة عبر مسار التفويض الخاص بـ Polaris.
  • يبني Polaris سياسة IAM مؤقتة تحتوي على أنماط موارد S3 وشروط s3:prefix تتضمن أحرف غير مهربة.
  • نتيجة لذلك، تُقرأ هذه الأحرف كبطاقات عمومية، فتتمكن بيانات الاعتماد من الوصول إلى مسارات جداول أخرى لا يملك المهاجم أي صلاحيات عليها.

تم تأكيد السلوك الخطير التالي في بيئات اختبار خاصة على الإصدار Polaris 1.4.0، سواء مع MinIO أو AWS S3 الحقيقية:

  1. قراءة ملف التحكم metadata.json الخاص بجدول Iceberg آخر، وهو ملف يحدد البيانات والسجلات الفعلية للجدول.
  2. سرد محتويات المسار الدقيق لجدول ضحية عبر عملية List على S3.
  3. إنشاء وحذف كائنات داخل مسار جدول الضحية عند منح صلاحيات الكتابة المفوّضة، ما يفتح الباب أمام هجمات إفساد البيانات (Data Corruption) أو الحذف الخبيث.

خطورة السيناريو ذي الامتيازات الأدنى

رسم توضيحي لثغرة Apache Polaris الحرجة تسمح بالوصول العابر لجداول S3 عبر تجاوز الصلاحيات

أخطر ما في هذه الثغرة هو تأكيد متغير هجومي يعتمد على مبدأ أقل الامتيازات (Least Privilege)؛ إذ يستطيع مهاجم لا يملك أي صلاحيات Polaris على جدول الضحية (foo.t1) — وإنما فقط الصلاحيات الدنيا TABLE_CREATE وTABLE_WRITE_DATA على مستوى مساحة الأسماء — أن ينفذ ما يلي:

  • إنشاء جدول احتيالي بالاسم ..
  • استلام بيانات اعتماد S3 المفوّضة.
  • استخدام هذه البيانات لسرد وقراءة وإنشاء وحذف الكائنات داخل مسار foo.t1 مباشرة.

هذا يعني أن نموذج التحكم بالوصول في Polaris يتم تجاوزه بشكل كامل عبر خدمة S3 ذاتها، حتى لو كانت قواعد Polaris الداخلية ترفض الوصول المباشر.

الأنظمة والإصدارات المتأثرة

  • Apache Polaris الإصدار 1.4.0 (مؤكد).
  • الإصدارات الأقدم التي تستخدم نفس آلية بناء سياسات IAM المؤقتة لـ S3.
  • جميع عمليات النشر التي تعتمد على AWS S3 أو MinIO أو أي تخزين كائنات متوافق مع S3 يدعم نمط IAM Wildcards.
  • البيئات التي تستخدم Polaris كطبقة كتالوج لجداول Apache Iceberg.

الأثر على مزودي الاستضافة ومراكز البيانات في المملكة

رسم يوضح كسر قفل أمان سحابي وثغرة Apache Polaris للوصول العابر للجداول عبر S3

مع التوسع الكبير في تبني بحيرات البيانات (Data Lakehouse) في المملكة العربية السعودية ضمن مبادرات رؤية المملكة 2030 والتحول الرقمي للجهات الحكومية والقطاع المالي، أصبحت منصات مثل Apache Polaris وApache Iceberg مكونًا أساسيًا في البنية التحتية لكثير من الشركات. هذه الثغرة تمثل تهديدًا مباشرًا لـ:

  • مراكز البيانات المحلية المرخصة من هيئة الاتصالات والفضاء والتقنية (CST) سابقًا CITC.
  • مزودي الخدمات السحابية المحلية مثل STC Cloud وMobily Business وSahara Net.
  • الجهات المالية الخاضعة لإشراف البنك المركزي السعودي (SAMA)، وإطار SAMA Cyber Security Framework.
  • الجهات الحكومية الملتزمة بـالضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA).
  • المؤسسات التي تعالج بيانات شخصية خاضعة لـنظام حماية البيانات الشخصية (PDPL).

أي تسرب أو عبث ببيانات الجداول قد يمثل حادثة أمن سيبراني يستوجب التبليغ عنها وفقًا لإلزامات NCA وSAMA، وقد يعرض الشركة لغرامات بموجب PDPL تصل إلى ملايين الريالات.

مؤشرات الاختراق المحتملة (IoCs)

  • وجود جداول أو مساحات أسماء تحتوي على الحرف في كتالوج Polaris.
  • طلبات GetSubscopedCredentials لجداول غير معتادة الأسماء.
  • سجلات AWS CloudTrail تُظهر عمليات ListObjectsV2, GetObject, PutObject, DeleteObject من Session Tokens مؤقتة على مسارات لا تتطابق مع الجدول الأصلي.
  • تعديلات غير مبررة على ملفات metadata.json أو اختفاء لقطات Iceberg (Snapshots).

خطوات الاستجابة الموصى بها لمدراء الأنظمة

1. الإجراءات الفورية (خلال 24 ساعة)

  • تطبيق التصحيحات الأمنية الصادرة عن Apache Polaris فور توفرها ومراجعة القائمة البريدية الرسمية.
  • تدقيق كتالوج Polaris للبحث عن أي أسماء جداول أو مساحات أسماء تحتوي على * أو أحرف خاصة.
  • تعطيل مسار التفويض الخاص بصلاحيات S3 المؤقتة مؤقتًا إذا لم يكن مستخدمًا بشكل حرج.

2. التحقق من السياسات (خلال 72 ساعة)

  • مراجعة قوالب سياسات IAM المستخدمة في Polaris والتأكد من أن أي إدخال يمر عبر آلية تهريب صارمة.
  • تفعيل S3 Access Logs وCloudTrail Data Events على جميع حاويات S3 المرتبطة بجداول Iceberg.
  • تطبيق سياسات Bucket Policy وSCP تمنع الوصول عبر Session Tokens إلى مسارات خارج النطاق الأصلي.

3. تعزيزات طويلة الأمد

  • فرض قائمة بيضاء (Whitelist) لأحرف أسماء الجداول تسمح فقط بالأحرف الأبجدية الرقمية والشرطة السفلية.
  • فصل حاويات S3 لكل مستأجر (Tenant) أو مساحة أسماء حساسة.
  • تطبيق تشفير مفاتيح مختلفة (KMS CMK) لكل جدول حساس لمنع الوصول العابر حتى لو تم تجاوز السياسات.
  • دمج المراقبة مع SIEM ومراكز العمليات الأمنية SOC، ورفع التنبيهات للجنة الأمن السيبراني وفق متطلبات NCA.

دور 4jawaly في دعم المؤسسات السعودية

رجل خليجي يستخدم لابتوب لتحليل ثغرة Apache Polaris الأمنية مع قفل مكسور ودلاء S3

باعتبارها شركة سعودية مرخصة من هيئة الاتصالات والفضاء والتقنية (ترخيص 291-10-32) وحاصلة على شهادة ISO 27001، تقدم فورجوالي (4jawaly) حلولاً متكاملة تساعد الجهات في مواجهة مثل هذه الحوادث، منها:

  • خدمات الإشعارات الفورية عبر SMS لتنبيه فرق الأمن عند اكتشاف نشاط مشبوه في بيئات S3 وIceberg.
  • تكامل WhatsApp Business API لإرسال تقارير الحوادث إلى مسؤولي تقنية المعلومات في الوقت الحقيقي.
  • روبوتات الدردشة الذكية لدعم فرق الاستجابة للحوادث وتوفير إرشادات فورية.
  • خدمات الاستضافة الآمنة في مراكز بيانات داخل المملكة متوافقة مع متطلبات توطين البيانات.

خاتمة

تعد ثغرة CVE-2026-42810 تذكيرًا حادًا بأن التحقق من المدخلات ليس مجرد ممارسة جيدة، بل خط دفاع أول حاسم. مع دمج Polaris المتزايد في البنى التحتية للبيانات في المملكة، يجب على كل مدير نظام وفريق DevSecOps معاملة هذه الثغرة كأولوية قصوى، وتطبيق التصحيحات فور صدورها، ومراجعة نماذج التفويض المفوّض لـ S3 بشكل شامل. التكلفة المحتملة للتجاهل قد تتجاوز بكثير تكلفة التصحيح، خاصة في ظل التشريعات الصارمة مثل PDPL وECC.

الأسئلة الأكثر شيوعاً

ما هي ثغرة CVE-2026-42810 بشكل مبسط؟
هي ثغرة حرجة في Apache Polaris تسمح للمهاجم بإنشاء جداول بأسماء تحتوي على حرف النجمة (*)، ما يؤدي إلى منحه بيانات اعتماد S3 مؤقتة تصل إلى بيانات جداول أخرى لا يملك صلاحيات عليها.
هل إصدار Apache Polaris الذي نستخدمه متأثر؟
تم تأكيد التأثير على الإصدار 1.4.0 والإصدارات الأقدم التي تستخدم نفس آلية بناء سياسات IAM المؤقتة. يجب مراجعة الإعلان الرسمي من Apache والتحديث للإصدار المصحح فور صدوره.
ما الإجراء الأعجل الذي يجب اتخاذه الآن؟
تدقيق كتالوج Polaris فورًا للبحث عن أي أسماء جداول أو مساحات أسماء تحتوي على حرف (*)، وتعطيل مسار التفويض المؤقت لـ S3 مؤقتًا، وتفعيل CloudTrail وS3 Access Logs لرصد أي نشاط مشبوه.
كيف تؤثر هذه الثغرة على الامتثال لأنظمة NCA وSAMA وPDPL؟
أي تسرب لبيانات الجداول يعد حادثة أمن سيبراني يستوجب التبليغ عنها وفق إطار NCA ECC وSAMA CSF، وقد يعرض المؤسسة لغرامات PDPL إذا شملت البيانات معلومات شخصية.
هل يكفي تطبيق التصحيح أم أحتاج إجراءات إضافية؟
التصحيح ضروري لكنه غير كافٍ. يجب فرض قائمة بيضاء لأحرف أسماء الجداول، وفصل حاويات S3 لكل مستأجر، واستخدام مفاتيح KMS منفصلة لكل جدول حساس، ودمج المراقبة مع منظومة SIEM.

مقالات ذات صلة

مشاهدة المزيد