شعار منصة فورجوالي الرسمي - خدمات الرسائل والواتساب والاستضافة
تسجيل الدخول
شعار فورجوالي
شعار منصة فورجوالي الرسمي - خدمات الرسائل والواتساب والاستضافة
تسجيل الدخول
تسجيل الدخول

الوسم: باب خلفي

ثغرة CVE-2026-42372: باب خلفي مدمج في موجهات D-Link DIR-605L عبر Telnet

Posted on by wpadmin

كشف باحثو الأمن السيبراني عن ثغرة أمنية خطيرة تحمل المعرف CVE-2026-42372 تؤثر على موجهات D-Link DIR-605L من المراجعة الأولى للأجهزة (Hardware Revision A1)، وهي ثغرة تتمثل في وجود باب خلفي مدمج (Hardcoded Backdoor) عبر بروتوكول Telnet ببيانات اعتماد ثابتة لا يمكن تغييرها. تصل درجة خطورة الثغرة إلى 8.8 من 10 وفقاً لمقياس CVSS، مما يضعها في فئة الثغرات عالية الخطورة، ويزيد من خطورتها أن الجهاز قد وصل إلى نهاية دورة حياته (End-of-Life – EOL) ولن يحصل على أي تحديثات أمنية من الشركة المصنعة.

تكتسب هذه الثغرة أهمية خاصة في السوق السعودي والخليجي حيث لا تزال موجهات D-Link DIR-605L مستخدمة في كثير من المنازل والمكاتب الصغيرة وحتى بعض البيئات التجارية، وقد يجهل المستخدمون أن أجهزتهم تحتوي على بوابة خلفية تمنح المهاجم صلاحيات الجذر (root) كاملة على الجهاز.

التفاصيل التقنية للثغرة

تنبع الثغرة من تصنيف الضعف CWE-798: استخدام بيانات اعتماد مضمّنة (Use of Hard-coded Credentials)، وهي من أخطر أنواع الثغرات التي يمكن أن توجد في الأجهزة المضمّنة (Embedded Devices). إليك الآلية التفصيلية:

  • تشغيل خدمة Telnet عند الإقلاع: يقوم الجهاز تلقائياً عند الإقلاع بتشغيل خدمة Telnet عبر السكربت /bin/telnetd.sh.
  • بيانات الاعتماد المدمجة: اسم المستخدم هو Alphanetworks، وكلمة المرور الثابتة هي wrgn35_dlwbr_dir605l ويتم قراءتها من الملف /etc/alpha_config/image_sign.
  • ثنائي Telnet مخصص: يستقبل البرنامج التنفيذي المخصص telnetd العلامة -u user:password لتمرير بيانات الاعتماد.
  • التحقق عبر strcmp(): يستخدم الثنائي المخصص login دالة strcmp() للتحقق من صحة بيانات الاعتماد، وهي طريقة بدائية وغير آمنة.
  • صلاحيات الجذر: عند نجاح المصادقة، يحصل المهاجم على Shell بصلاحيات root كاملة على الجهاز.

سيناريو الهجوم المحتمل

مسؤول تقنية سعودي يفحص موجه D-Link DIR-605L لاكتشاف ثغرة Telnet وباب خلفي

يستطيع المهاجم الذي يتواجد على نفس الشبكة المحلية للضحية (سواء عبر اتصال سلكي أو لاسلكي بالشبكة المنزلية أو شبكة المكتب) أن يقوم بالخطوات التالية بسهولة:

  1. اكتشاف الموجه D-Link DIR-605L على الشبكة عبر فحص المنافذ.
  2. الاتصال بمنفذ Telnet الافتراضي (23) على عنوان IP الخاص بالموجه.
  3. إدخال اسم المستخدم Alphanetworks وكلمة المرور wrgn35_dlwbr_dir605l.
  4. الحصول مباشرة على Shell بصلاحيات root.

بمجرد الحصول على الصلاحيات الكاملة، يمكن للمهاجم تنفيذ هجمات متعددة مثل: تحويل حركة المرور (DNS Hijacking)، اعتراض حركة البيانات، تثبيت برمجيات خبيثة دائمة على البرنامج الثابت (Firmware)، استخدام الجهاز كنقطة انطلاق لاختراق الشبكة الداخلية، أو ضمه إلى شبكات Botnet لشن هجمات DDoS واسعة.

الأنظمة والأجهزة المتأثرة

الثغرة تؤثر بشكل مؤكد على:

  • D-Link DIR-605L Hardware Revision A1 بجميع إصدارات البرنامج الثابت.
  • الجهاز رسمياً End-of-Life (EOL) ولن تصدر له شركة D-Link أي تصحيحات أمنية.
  • قد تكون مراجعات أخرى من DIR-605L أو نماذج مشابهة (مثل بعض موجهات Alpha Networks المعاد تسميتها) عرضة لنفس المشكلة، وينبغي فحصها.

تأثير الثغرة على المؤسسات والمستخدمين في المملكة العربية السعودية

رجل سعودي يفحص ثغرة باب خلفي في موجه D-Link DIR-605L عبر Telnet

تتعامل هيئة الاتصالات والفضاء والتقنية (CST، المعروفة سابقاً بـ CITC) في المملكة العربية السعودية بحزم مع الأجهزة التي تحتوي على ثغرات أمنية متاحة للعموم، وتشترط في إطار الضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA) الالتزام بأفضل الممارسات في تأمين البنية التحتية الشبكية. وجود مثل هذه الثغرة في موجه يستخدم لربط مكتب صغير أو فرع بمزود خدمة الإنترنت يعد خرقاً مباشراً لمتطلبات حماية البيانات.

كما أن الثغرة تتعارض مع متطلبات نظام حماية البيانات الشخصية (PDPL) في المملكة، إذ يعد كل جهاز شبكي يحتوي على باب خلفي معروف منفذاً محتملاً لتسرب البيانات الشخصية للعملاء والموظفين.

خطوات الاستجابة الفورية لمسؤولي الاستضافة وتقنية المعلومات

1. الجرد والاكتشاف

  • قم بمراجعة قائمة الأجهزة الشبكية في مؤسستك، ومكاتب الفروع، وأجهزة الموظفين العاملين عن بُعد.
  • افحص الشبكة باستخدام أدوات مثل nmap للبحث عن المنفذ 23 (Telnet) المفتوح: nmap -p 23 --open 192.168.0.0/24.
  • تحقق من واجهة إدارة الموجه لمعرفة الطراز والمراجعة (Hardware Revision).

2. الإجراءات المؤقتة (Mitigation)

  • عزل الجهاز: إذا لم يكن استبدال الجهاز ممكناً فوراً، اعزله في شبكة VLAN منفصلة بدون وصول للإنترنت أو للشبكة الداخلية الحساسة.
  • إيقاف خدمة Telnet: حاول تعطيل Telnet من خلال واجهة الإدارة، علماً أن هذا قد لا يكون فعالاً في حالة الباب الخلفي المدمج.
  • تقييد الوصول الفيزيائي واللاسلكي: فعّل WPA3 أو WPA2 بكلمة مرور قوية، وعطّل WPS، وراقب الأجهزة المتصلة بالشبكة.
  • قواعد جدار الحماية: امنع أي اتصالات صادرة من الموجه إلى عناوين IP غير معروفة عبر جدار الحماية المحيطي.

3. الحل الجذري: الاستبدال

نظراً لأن الجهاز EOL ولن يتلقى تصحيحات، فإن التوصية الرسمية هي الاستبدال الفوري بأجهزة حديثة تدعم تحديثات أمنية مستمرة، ويفضل أن تكون من شركات تلتزم بسياسات تحديث طويلة المدى وتدعم بروتوكولات الإدارة الآمنة مثل SSH وHTTPS فقط.

4. المراقبة والتحقيق

  • راجع سجلات الموجه وسجلات DNS بحثاً عن أي نشاط مريب خلال الأشهر الماضية.
  • تحقق من إعدادات DNS للتأكد من عدم تغييرها إلى خوادم خبيثة.
  • أبلغ المركز الوطني الإرشادي للأمن السيبراني (HAESN) في حال اكتشاف اختراق فعلي.

أفضل الممارسات لمزودي الاستضافة في المملكة

رسم يوضح ثغرة D-Link DIR-605L وباب خلفي عبر Telnet يمنح المهاجمين وصولا جذريا

على مزودي خدمات الاستضافة ومراكز البيانات السعودية الالتزام بما يلي:

  • سياسة EOL صارمة: لا تستخدم أي جهاز شبكي وصل إلى نهاية حياته في بيئة الإنتاج.
  • تعطيل Telnet بشكل عام: استبدال Telnet بـ SSH في جميع الأجهزة، ومنع المنفذ 23 على مستوى جدار الحماية المحيطي.
  • اختبار الاختراق الدوري: إجراء اختبارات اختراق سنوية على الأقل لاكتشاف الأبواب الخلفية والثغرات المعروفة.
  • التحقق من البرامج الثابتة: الاعتماد على أجهزة ذات Firmware موقع رقمياً مع آلية تحقق من السلامة.
  • التوثيق والامتثال: تسجيل كل جهاز ضمن قائمة الأصول مع تاريخ الشراء وتاريخ EOL المتوقع للالتزام بضوابط ECC.

كيف يمكن لـ 4jawaly مساعدة المؤسسات السعودية؟

تقدم فورجوالي (4jawaly)، الشركة السعودية المرخصة من هيئة الاتصالات والفضاء والتقنية برقم 291-10-32 والحاصلة على شهادة ISO 27001، خدمات الاستضافة الآمنة من مراكز بيانات داخل المملكة بما يضمن الامتثال لمتطلبات توطين البيانات. كما توفر خدمات الإشعارات الفورية عبر SMS وWhatsApp Business API لتنبيه فرق تقنية المعلومات فور اكتشاف أي نشاط مشبوه، إضافة إلى حلول التواصل الذكي عبر روبوتات المحادثة المعتمدة على الذكاء الاصطناعي للاستجابة السريعة لحوادث الأمن السيبراني.

الخلاصة

تمثل ثغرة CVE-2026-42372 تذكيراً صارخاً بأهمية إدارة دورة حياة الأصول التقنية، وأن الأجهزة EOL تعد قنبلة موقوتة في أي شبكة. وجود باب خلفي مدمج ببيانات اعتماد ثابتة في موجه D-Link DIR-605L يجعل من السهل على أي مهاجم محلي السيطرة الكاملة على الشبكة. التوصية واضحة وحاسمة: استبدل الجهاز فوراً، ولا تعتمد على حلول ترقيعية، والتزم بسياسة شراء أجهزة من موردين يقدمون التزاماً واضحاً بالتحديثات الأمنية. إن الاستثمار في بنية تحتية شبكية حديثة هو استثمار مباشر في حماية بيانات عملائك وسمعة مؤسستك في السوق السعودي التنافسي.

الأسئلة الأكثر شيوعاً

ما هو الجهاز المتأثر بثغرة CVE-2026-42372؟
الجهاز المتأثر هو موجه D-Link DIR-605L من المراجعة الأولى للأجهزة (Hardware Revision A1)، وهو منتهي دورة الحياة (EOL) ولن يحصل على تحديثات أمنية.
هل يمكن إصلاح الثغرة عبر تحديث البرنامج الثابت؟
لا، الجهاز وصل إلى نهاية دورة حياته ولن تصدر شركة D-Link أي تصحيحات. الحل الوحيد الموصى به هو استبدال الجهاز بموجه حديث يدعم التحديثات الأمنية.
كيف أعرف إذا كان موجهي معرضاً للثغرة؟
افحص ملصق الجهاز للتحقق من الموديل والمراجعة، وتأكد من إغلاق منفذ Telnet (23) باستخدام أداة nmap، وراجع سجلات الجهاز بحثاً عن نشاط مشبوه.
هل تتطلب الثغرة وصولاً من الإنترنت أم محلياً فقط؟
تتطلب الثغرة وصول المهاجم إلى الشبكة المحلية، لكن إذا كانت إدارة Telnet مفتوحة على الإنترنت (وهو شائع للأسف) فإن الخطر يصبح عالمياً.
ما علاقة هذه الثغرة بضوابط NCA وCST في المملكة؟
وجود جهاز ببوابة خلفية معروفة يعد خرقاً للضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن NCA، ويعرض المؤسسة لمخالفة نظام حماية البيانات الشخصية (PDPL).

مقالات ذات صلة

مشاهدة المزيد

ثغرة حرجة: باب خلفي مُضمّن في أجهزة D-Link DIR-456U عبر خدمة Telnet

Posted on by wpadmin

كشف باحثون في الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرف CVE-2026-42376 وتُصنّف بدرجة 9.8 (حرجة) على مقياس CVSS v3.1، تؤثر على أجهزة التوجيه (Routers) من طراز D-Link DIR-456U الإصدار A1. الثغرة عبارة عن باب خلفي (Backdoor) مُضمّن في البرنامج الثابت (Firmware) للجهاز عبر خدمة Telnet، مع بيانات اعتماد (Credentials) ثابتة ومشفّرة مسبقاً داخل ملفات النظام، مما يمنح المهاجم صلاحيات الجذر (root) الكاملة دون الحاجة إلى أي تفاعل من المستخدم.

الأخطر من ذلك أن الجهاز وصل إلى نهاية دورة حياته (End-of-Life) ولن تصدر له الشركة المُصنِّعة أي تحديثات أمنية، مما يجعل جميع الأجهزة العاملة حالياً في الشبكات السعودية والخليجية معرضة بشكل دائم للاختراق ما لم يتم استبدالها أو عزلها فوراً.

تفاصيل الثغرة التقنية CVE-2026-42376

تكمن الثغرة في وجود خدمة Telnet daemon يتم تشغيلها تلقائياً عند إقلاع الجهاز من خلال سكريبت التهيئة /etc/init0.d/S80telnetd.sh. يقوم هذا السكريبت بتشغيل نسخة مُعدَّلة من خدمة telnetd تستخدم بيانات دخول ثابتة:

  • اسم المستخدم: Alphanetworks
  • كلمة المرور الثابتة: whdrv01_dlob_dir456U (يتم قراءتها من الملف /etc/config/image_sign)

تستخدم النسخة المُخصصة من ثنائي telnetd خياراً غير موثّق هو -u user:password لتمرير بيانات الاعتماد، بينما يعتمد ثنائي login المُعدّل على دالة strcmp() البسيطة للتحقق من صحة بيانات الدخول. هذه التصميمة تمثل انتهاكاً صريحاً لمبادئ الأمن السيبراني وتندرج تحت التصنيف CWE-798: استخدام بيانات اعتماد مشفّرة مسبقاً (Use of Hard-coded Credentials).

سيناريو الاستغلال

بمجرد أن يتمكن المهاجم من الوصول إلى الشبكة المحلية التي يتصل بها الجهاز (سواء عبر Wi-Fi أو اتصال سلكي)، يستطيع تنفيذ الأوامر التالية للحصول على صلاحيات جذر كاملة:

telnet <IP-of-DIR-456U> 23
login: Alphanetworks
password: whdrv01_dlob_dir456U

(root shell granted)بعد الحصول على صلاحيات الجذر، يمكن للمهاجم:اعتراض جميع حركة المرور (Traffic) المارة عبر الراوتر بما فيها كلمات المرور وبيانات الخدمات المصرفية.تعديل إعدادات DNS لإعادة توجيه المستخدمين إلى مواقع تصيّد احتيالي.زرع برمجيات خبيثة دائمة (Persistent Malware) داخل البرنامج الثابت.استخدام الجهاز كنقطة انطلاق (Pivot Point) لمهاجمة باقي أجهزة الشبكة الداخلية.ضم الجهاز إلى شبكات البوت نت (Botnets) مثل Mirai و Mozi.الأنظمة والأجهزة المتأثرة
مسؤول تقنية سعودي يعالج ثغرة D-Link DIR-456U مع باب خلفي Telnet في الراوتر
تؤثر الثغرة بشكل مؤكد على:
  • D-Link DIR-456U Hardware Revision A1 — جميع إصدارات البرنامج الثابت.
  • الأجهزة التي وصلت إلى حالة نهاية الدعم (EOL) ولن تتلقى أي تصحيحات.
من المرجح أيضاً أن تكون نماذج مشابهة من نفس العائلة (التي تعتمد على نفس البرنامج الثابت المُصنَّع من Alphanetworks) تحمل ثغرات مماثلة، ويُنصح بفحصها جميعاً.
السياق المحلي: لماذا يجب على مدراء الأنظمة في السعودية أخذ هذه الثغرة على محمل الجد؟
وفقاً لتقارير هيئة الاتصالات وتقنية المعلومات (CITC) والهيئة الوطنية للأمن السيبراني (NCA)، تُعدّ أجهزة التوجيه المنزلية والمكتبية من أكثر نقاط الضعف استهدافاً في المملكة العربية السعودية ودول الخليج. العديد من الشركات الصغيرة والمتوسطة، وكذلك المكاتب الفرعية للشركات الكبرى، تعتمد على أجهزة D-Link بسبب توفرها وانخفاض تكلفتها.
كما أن الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة عن NCA تفرض على الجهات الحكومية وشبه الحكومية استبدال الأجهزة التي وصلت لنهاية دعمها فوراً، وتعتبر وجود أجهزة غير مدعومة في الشبكة مخالفة صريحة للضابط 2-3-3 الخاص بإدارة التحديثات والتصحيحات.
مخاطر خاصة بقطاع الاستضافة والمزودين المحليين
إذا كنت تعمل لدى مزود استضافة سعودي أو مركز بيانات محلي، فإن استخدام أي جهاز DIR-456U في شبكات الإدارة خارج النطاق (Out-of-Band Management) أو كحل احتياطي يُعدّ كارثة أمنية قد تؤدي إلى:
  • انتهاك متطلبات ISO 27001 الخاصة بإدارة الأصول.
  • مخالفة سياسة حماية البيانات الشخصية (PDPL) السعودية في حال تسرّب بيانات العملاء.
  • فقدان ترخيص CITC في حالة ثبوت الإهمال في حماية البنية التحتية.
الإجراءات التصحيحية العاجلة لمدراء الأنظمة السعوديين
أولاً: الإجراءات الفورية (خلال 24 ساعة)
  1. جرد شامل: قم بفحص جميع أجهزة التوجيه في منشأتك وتحديد أي جهاز DIR-456U A1 باستخدام أدوات مثل nmap أو Shodan للشبكات الداخلية.
  2. عزل الأجهزة المصابة: إذا كان الاستبدال غير ممكن فوراً، اعزل الجهاز في VLAN منفصل بدون وصول إلى الإنترنت أو البيانات الحساسة.
  3. تعطيل Telnet من الشبكة: قم بحظر المنفذ TCP/23 على جميع الجدران النارية (Firewalls) لمنع أي وصول خارجي.
  4. مراقبة حركة المرور: فعّل تسجيل حركة المرور على المنفذ 23 واستخدم أنظمة IDS/IPS مثل Suricata للكشف عن محاولات الاستغلال.
ثانياً: الحل الجذري (خلال أسبوع)
  1. الاستبدال الكامل: الحل الوحيد الفعلي هو استبدال الجهاز بأحد البدائل المدعومة مثل MikroTik أو Cisco أو Ubiquiti أو D-Link من الطرازات الحديثة المدعومة.
  2. التحقق من سلامة الشبكة: افحص الأجهزة المتصلة بالراوتر المصاب للتأكد من عدم تعرضها للاختراق، خاصة فحص DNS settings على أجهزة المستخدمين.
  3. تغيير جميع كلمات المرور: إذا مرت بيانات حساسة عبر الجهاز المصاب، غيّر جميع كلمات المرور للخدمات الداخلية والسحابية.
ثالثاً: التوعية والتوثيق
  • وثّق الحادثة ضمن سجل إدارة الحوادث وفقاً لضوابط NCA.
  • أبلغ عن أي محاولة استغلال عبر المركز الوطني الإرشادي للأمن السيبراني.
  • درّب فريقك على أهمية التحقق من حالة EOL لكل جهاز شبكي قبل الشراء.
كيف يمكن لـ 4Jawaly مساعدتك؟
رسم توضيحي لثغرة D-Link DIR-456U مع باب خلفي Telnet وقفل أمني مكسور
في ظل هذه التهديدات المتصاعدة، توفر فورجوالي (4Jawaly) — الشركة السعودية الحاصلة على ترخيص CITC رقم 291-10-32 وشهادة ISO 27001 — حلول استضافة آمنة في مراكز بيانات محلية تتبع أحدث معايير الأمن السيبراني، بعيداً عن مخاطر الأجهزة منتهية الدعم. كما يمكنك استخدام خدمات SMS وWhatsApp Business API من 4Jawaly لإرسال تنبيهات أمنية فورية لفريق الاستجابة عند رصد أي نشاط مشبوه على شبكتك.
كشف الاختراق: مؤشرات التسلل (IoCs)
رسم يوضح اختراق راوتر D-Link DIR-456U عبر باب خلفي Telnet وكسر قفل الحماية
راقب المؤشرات التالية التي قد تدل على استغلال نشط للثغرة:
  • اتصالات Telnet واردة من عناوين IP غير معروفة على المنفذ 23.
  • وجود عمليات غير متوقعة بصلاحيات root في سجلات الجهاز.
  • تعديلات غير مصرح بها في ملف /etc/config/image_sign.
  • تغيير إعدادات DNS إلى خوادم غير مألوفة.
  • ارتفاع غير مبرر في استهلاك النطاق الترددي الصادر.
خاتمة: الدرس المستفاد
تؤكد ثغرة CVE-2026-42376 حقيقة مريرة: الأجهزة منتهية الدعم هي قنابل موقوتة في شبكتك. لا يوجد تصحيح، ولا بديل سوى الاستبدال الفوري. على جميع مدراء الأنظمة في المملكة العربية السعودية ودول الخليج اعتماد سياسة صارمة لإدارة دورة حياة الأجهزة (Asset Lifecycle Management) تتضمن متابعة تواريخ EOL ووضع ميزانيات استبدال سنوية. الأمن السيبراني ليس ترفاً بل ضرورة قانونية وتشغيلية في عصر التحول الرقمي الذي تقوده رؤية المملكة 2030.

الأسئلة الأكثر شيوعاً

هل يمكن تصحيح ثغرة CVE-2026-42376 عبر تحديث البرنامج الثابت؟
لا، جهاز D-Link DIR-456U A1 وصل إلى نهاية دورة حياته (EOL) ولن تصدر له الشركة المُصنِّعة أي تحديثات أمنية. الحل الوحيد هو استبدال الجهاز بطراز مدعوم.
هل الثغرة قابلة للاستغلال عن بُعد من خارج الشبكة؟
الاستغلال الأساسي يتطلب الوصول إلى الشبكة المحلية، لكن إذا كان منفذ Telnet (23) مفتوحاً على الإنترنت أو تم اختراق جهاز داخل الشبكة، يصبح الاستغلال عن بُعد ممكناً وخطيراً جداً.
كيف أكتشف وجود أجهزة DIR-456U في شبكتي؟
استخدم أدوات فحص الشبكة مثل nmap مع السكريبت (nmap -sV -p 23 <subnet>) أو راجع قوائم MAC address الخاصة بـ Alphanetworks/D-Link في جدول ARP الخاص بالسويتش.
ما علاقة هذه الثغرة بالامتثال لضوابط NCA في السعودية؟
وجود أجهزة منتهية الدعم يخالف الضابط 2-3-3 من ECC-1:2018 الخاص بإدارة التحديثات، وقد يعرّض المنشأة لمخالفات تنظيمية وعقوبات من الهيئة الوطنية للأمن السيبراني.
هل تكفي إعادة ضبط المصنع (Factory Reset) لإزالة الباب الخلفي؟
لا، الباب الخلفي مُضمّن في البرنامج الثابت نفسه وبيانات الاعتماد مُخزّنة في ملفات النظام الأساسية، لذا إعادة الضبط لن تزيلها. الاستبدال هو الحل الوحيد.

مقالات ذات صلة

مشاهدة المزيد

ثغرة حرجة: باب خلفي مزروع في أجهزة D-Link DIR-600L عبر Telnet

Posted on by wpadmin

مقدمة: ثغرة خطيرة في أجهزة راوتر منتشرة في السوق السعودي

كشفت الأبحاث الأمنية الحديثة عن ثغرة أمنية بالغة الخطورة مُصنّفة تحت المعرّف CVE-2026-42374 بدرجة خطورة 9.8 من 10 (حرجة) وفق مقياس CVSS v3.1، تستهدف أجهزة التوجيه (الراوتر) من طراز D-Link DIR-600L Hardware Revision B1. تتمثل الثغرة في وجود باب خلفي (Backdoor) مزروع بشكل متعمد في البرنامج الثابت (Firmware) للجهاز، يسمح لأي مهاجم على الشبكة المحلية بالحصول على صلاحيات الجذر (Root) كاملة دون الحاجة إلى أي مصادقة مشروعة.

الأخطر من ذلك أن هذه الأجهزة قد وصلت إلى نهاية دورة حياتها (End-of-Life)، مما يعني أن الشركة المصنّعة لن تُصدر أي تحديثات أمنية لإصلاح هذه الثغرة، مما يُحتّم على مدراء الأنظمة ومسؤولي الاستضافة في المملكة العربية السعودية ودول الخليج اتخاذ إجراءات فورية وصارمة.

التفاصيل التقنية للثغرة

تعمل ثغرة CVE-2026-42374 على استغلال وجود بيانات اعتماد مُدمجة بشكل صريح (Hardcoded Credentials) في البرنامج الثابت للجهاز، وهو ما يُصنّف ضمن تصنيف CWE-798: Use of Hard-coded Credentials. عند إقلاع الجهاز، يتم تشغيل خدمة Telnet تلقائيًا عبر السكربت /bin/telnetd.sh باستخدام بيانات الاعتماد التالية:

  • اسم المستخدم: Alphanetworks
  • كلمة المرور الثابتة: wrgn61_dlwbr_dir600L

يتم تخزين كلمة المرور في الملف /etc/alpha_config/image_sign، ويتم قراءتها من قِبَل النسخة المُعدّلة من خدمة telnetd التي تقبل المُعامل -u user:password. كما أن ملف login المُعدّل يستخدم دالة strcmp() البسيطة للتحقق من صحة بيانات الاعتماد، دون أي طبقة حماية إضافية مثل التجزئة (Hashing) أو التحقق متعدد العوامل.

سيناريو الاستغلال

يمكن للمهاجم المتواجد على الشبكة المحلية (سواء شبكة Wi-Fi أو شبكة سلكية متصلة بالجهاز) تنفيذ الخطوات التالية للسيطرة الكاملة على الراوتر:

  1. فحص الشبكة المحلية للكشف عن الأجهزة التي تُشغّل خدمة Telnet على المنفذ 23.
  2. الاتصال بالجهاز عبر Telnet باستخدام الأمر: telnet [عنوان IP الجهاز]
  3. إدخال اسم المستخدم Alphanetworks وكلمة المرور wrgn61_dlwbr_dir600L.
  4. الحصول الفوري على صدفة جذر (Root Shell) بصلاحيات إدارية كاملة.

الأنظمة المتأثرة

رسم يوضح اختراق راوتر d-link dir-600l عبر Telnet وتهديد الأمن السيبراني

تؤثر هذه الثغرة بشكل مباشر على:

  • D-Link DIR-600L Hardware Revision B1 (جميع إصدارات البرامج الثابتة)
  • الأجهزة التي وصلت إلى مرحلة نهاية الدعم الفني (EOL)
  • جميع الشبكات المنزلية والمكتبية الصغيرة التي تستخدم هذا الطراز

تجدر الإشارة إلى أن أجهزة D-Link DIR-600L منتشرة بشكل واسع في السوق السعودي والخليجي، وقد تم توزيعها عبر عدد من متاجر الإلكترونيات ومزودي خدمة الإنترنت خلال السنوات الماضية، مما يجعل المخاطر مضاعفة في البيئات السكنية والمكاتب الصغيرة والمتوسطة (SMB).

تأثير الثغرة وخطورتها

نظرًا لأن المهاجم يحصل على صلاحيات الجذر الكاملة، فإنه يستطيع تنفيذ مجموعة من الهجمات الخطيرة، منها:

  • اعتراض حركة المرور (Traffic Interception): التجسس على جميع البيانات المارة عبر الراوتر بما فيها كلمات المرور والمعلومات البنكية.
  • هجمات Man-in-the-Middle: تعديل محتوى الصفحات أو إعادة توجيه المستخدمين إلى مواقع تصيد احتيالي.
  • خطف DNS: تغيير إعدادات DNS لإعادة توجيه حركة المرور إلى خوادم خبيثة.
  • استخدام الجهاز كنقطة انطلاق: لشن هجمات على أجهزة داخلية أخرى ضمن الشبكة.
  • تجنيد الجهاز ضمن شبكات بوت نت (Botnets): مثل شبكة Mirai المعروفة بمهاجمة أجهزة IoT.
  • تركيب برامج خبيثة دائمة (Persistent Malware): يصعب اكتشافها وإزالتها.

السياق المحلي: أهمية الإجراء السريع في المملكة

مسؤول تقنية سعودي يراقب راوتر d-link dir-600l أثناء هجوم سيبراني وتنبيه أمني

في ضوء التوجهات الرقمية لرؤية المملكة 2030 ومساعي هيئة الاتصالات والفضاء والتقنية (CST) (سابقًا CITC) لتعزيز الأمن السيبراني، تأتي هذه الثغرة لتُذكّرنا بأهمية تأمين البنية التحتية الشبكية حتى على مستوى الأجهزة الاستهلاكية. كما تتماشى متطلبات الهيئة الوطنية للأمن السيبراني (NCA) مع ضرورة استبدال الأجهزة التي وصلت لنهاية دورة حياتها، وفقًا للضوابط الأساسية للأمن السيبراني ECC-1:2018 والضوابط الخاصة بالأنظمة الحساسة CSCC-1:2019.

كما أن مزودي الاستضافة المحليين ومراكز البيانات في المملكة مثل تلك المتواجدة في الرياض وجدة والدمام، يجب أن يُنبّهوا عملاءهم من مخاطر استخدام أجهزة شبكية منتهية الدعم في بيئات العمل، خاصة تلك المتصلة بأنظمة الإدارة عن بُعد أو VPN للوصول إلى خوادم الإنتاج.

خطوات الحماية الموصى بها لمدراء الأنظمة السعوديين

أولًا: الإجراءات الفورية (خلال 24 ساعة)

  1. فصل الجهاز فورًا عن الإنترنت إذا كان يُستخدم في بيئة حساسة.
  2. تعطيل خدمة Telnet من واجهة إدارة الجهاز إن أمكن (رغم أن الباب الخلفي قد يبقى فعّالًا).
  3. عزل الجهاز شبكيًا عبر وضعه في شبكة VLAN منفصلة عن الأنظمة الحساسة.
  4. فحص الجهاز باستخدام أدوات مثل nmap للتأكد من حالة المنفذ 23:
    nmap -p 23 [عنوان IP]

ثانيًا: الإجراءات قصيرة المدى (خلال أسبوع)

  • استبدال الجهاز كليًا بأجهزة حديثة مدعومة من الشركة المصنّعة.
  • اختيار أجهزة تدعم WPA3 وتحديثات OTA تلقائية.
  • تفعيل التسجيل الأمني (Security Logging) ومراقبة المحاولات المشبوهة.
  • مراجعة جميع إعدادات إعادة توجيه المنافذ (Port Forwarding) للتأكد من عدم تعريض Telnet للإنترنت.

ثالثًا: الإجراءات طويلة المدى

  • إنشاء سياسة إدارة دورة حياة الأجهزة (Hardware Lifecycle Management) تحدد متى يجب استبدال الأجهزة.
  • تطبيق مبدأ الثقة الصفرية (Zero Trust) حتى داخل الشبكة المحلية.
  • إجراء تقييمات أمنية دورية للبنية التحتية الشبكية كل 6 أشهر.
  • الاشتراك في تنبيهات الثغرات من المركز الوطني الإرشادي للأمن السيبراني.

كيفية اكتشاف ما إذا كان جهازك مُخترقًا

رجل سعودي يفحص ثغرة أمنية في راوتر D-Link DIR-600L عبر الحاسوب المحمول

لمعرفة ما إذا كان الجهاز قد تعرّض للاختراق بالفعل، يُنصح بالتحقق من المؤشرات التالية:

  • بطء غير مبرر في الشبكة أو حركة مرور مشبوهة.
  • تغيير إعدادات DNS دون تدخل المسؤول.
  • ظهور مستخدمين جدد في قائمة الأجهزة المتصلة.
  • تعديلات على قواعد جدار الحماية (Firewall Rules).
  • تواصل الجهاز مع عناوين IP غير معروفة خارجيًا (يمكن رصدها عبر أدوات مراقبة الشبكة).

توصيات 4Jawaly لحماية الأعمال السعودية

نظرًا لطبيعة التهديد وانتشار الأجهزة المتأثرة، توصي فورجوالي (4Jawaly) – الشركة السعودية الحاصلة على ترخيص هيئة الاتصالات (291-10-32) وشهادة ISO 27001 – بما يلي:

  • دمج خدمات SMS للتنبيهات الأمنية لإعلام مسؤولي الأنظمة فورًا عند اكتشاف نشاط شبكي مشبوه.
  • استخدام روبوتات المحادثة الذكية (AI Chatbots) لتوعية الموظفين بأساسيات الأمن السيبراني.
  • الاعتماد على خدمات الاستضافة السحابية الآمنة في مراكز البيانات المحلية بدلًا من الاعتماد على بنية شبكية منزلية ضعيفة.
  • تطبيق المصادقة الثنائية (2FA) عبر OTP SMS لجميع أنظمة الإدارة عن بُعد.

خاتمة

تُمثّل ثغرة CVE-2026-42374 تذكيرًا صارخًا بأن الأجهزة منتهية الدعم تُشكّل خطرًا مُضاعفًا على المؤسسات والأفراد في المملكة العربية السعودية ومنطقة الخليج. الاستخفاف بهذه المخاطر قد يؤدي إلى خسائر مادية ومعلوماتية جسيمة، خاصة في ظل تصاعد الهجمات السيبرانية الموجّهة للمنطقة. الحل الأمثل هو الاستبدال الفوري لهذه الأجهزة مع اعتماد ممارسات الأمن السيبراني الحديثة التي تتوافق مع الضوابط الوطنية والمعايير الدولية.

الأسئلة الأكثر شيوعاً

ما هي ثغرة CVE-2026-42374 وكيف تعمل؟
هي ثغرة حرجة في أجهزة D-Link DIR-600L Hardware Revision B1 ناتجة عن وجود بيانات اعتماد مُدمجة مسبقًا في خدمة Telnet (اسم المستخدم Alphanetworks وكلمة المرور wrgn61_dlwbr_dir600L)، تسمح لأي مهاجم على الشبكة المحلية بالحصول على صلاحيات الجذر الكاملة دون الحاجة لمصادقة.
هل يمكن إصلاح الثغرة بتحديث البرنامج الثابت؟
لا، لأن الجهاز قد وصل إلى نهاية دورة حياته (End-of-Life)، وأعلنت شركة D-Link أنها لن تُصدر أي تحديثات أمنية لهذا الطراز. الحل الوحيد هو استبدال الجهاز بآخر مدعوم.
كيف أعرف إذا كانت شبكتي تحتوي على جهاز متأثر؟
يمكنك التحقق من ملصق الجهاز الخلفي لمعرفة الطراز والإصدار (Hardware Revision B1)، أو استخدام أداة nmap لفحص المنفذ 23 (Telnet) في شبكتك: nmap -p 23 [نطاق IP]. إذا كان المنفذ مفتوحًا على راوتر D-Link DIR-600L فأنت معرّض للخطر.
ما هي البدائل الموصى بها لاستبدال الجهاز؟
يُنصح باختيار أجهزة حديثة تدعم معايير WPA3 والتحديثات التلقائية OTA من شركات موثوقة، مع التأكد من أن الجهاز يتلقى تحديثات أمنية منتظمة ويمتثل لضوابط الهيئة الوطنية للأمن السيبراني في المملكة.
هل تؤثر هذه الثغرة على بيئات العمل التجارية في السعودية؟
نعم، خاصة المكاتب الصغيرة والمتوسطة التي تستخدم هذه الأجهزة. وفقًا لضوابط الأمن السيبراني ECC-1:2018، يجب استبدال الأجهزة منتهية الدعم فورًا لتجنب المخاطر القانونية والتشغيلية.

مقالات ذات صلة

مشاهدة المزيد

ثغرة حرجة: باب خلفي مزروع في أجهزة D-Link DIR-600L عبر بروتوكول Telnet

Posted on by wpadmin

ملخص تنفيذي للثغرة CVE-2026-42374

كشف باحثون في مجال الأمن السيبراني عن ثغرة حرجة تحمل المعرّف CVE-2026-42374 في أجهزة التوجيه (الراوتر) من نوع D-Link DIR-600L Hardware Revision B1، والتي تحتوي على باب خلفي (Backdoor) مزروع في الشركة المصنعة عبر بروتوكول Telnet. هذه الثغرة حصلت على درجة خطورة 9.8 من 10 (حرجة) وفقاً لمقياس CVSS، وتسمح لأي مهاجم متصل بالشبكة المحلية بالحصول على صلاحيات الجذر (root) الكاملة على الجهاز دون الحاجة إلى أي مصادقة مشروعة.

ما يزيد من خطورة هذه الثغرة هو أن الجهاز المتأثر قد وصل إلى نهاية دورة حياته (End-of-Life)، مما يعني أن الشركة المصنعة D-Link لن تصدر أي تحديثات أمنية لمعالجة هذه الثغرة، وبالتالي تبقى جميع الأجهزة العاملة حالياً عرضة دائمة للاستغلال.

تفاصيل الثغرة التقنية

تعود الثغرة إلى وجود بيانات اعتماد ثابتة ومبرمجة مسبقاً (Hardcoded Credentials) داخل البرنامج الثابت (Firmware) للجهاز، وهو ما يُصنّف ضمن فئة الضعف CWE-798: Use of Hard-coded Credentials. وتتلخص آلية عمل الباب الخلفي في النقاط التالية:

  • يقوم الجهاز عند الإقلاع بتشغيل خدمة Telnet تلقائياً عبر السكربت /bin/telnetd.sh.
  • اسم المستخدم المبرمج مسبقاً هو Alphanetworks.
  • كلمة المرور الثابتة هي wrgn61_dlwbr_dir600L ويتم قراءتها من الملف /etc/alpha_config/image_sign.
  • تستخدم النسخة المُعدّلة من telnetd خيار -u user:password لتمرير بيانات الاعتماد.
  • تتحقق دالة login المخصصة من بيانات الاعتماد باستخدام strcmp() فقط.
  • عند نجاح المصادقة، يحصل المهاجم على shell بصلاحيات الجذر (root) مباشرة.

الأنظمة والأجهزة المتأثرة

خبير أمن يفحص راوتر D-Link DIR-600L لاكتشاف ثغرة Telnet والباب الخلفي

تؤثر هذه الثغرة بشكل مباشر على:

  • D-Link DIR-600L – النسخة العتادية Hardware Revision B1.
  • جميع إصدارات البرنامج الثابت (Firmware) العاملة على هذه النسخة العتادية، لأن الباب الخلفي مزروع في مستوى النظام.
  • الحالة الرسمية: End-of-Life (EOL) – لن تصدر تحديثات أمنية.

تجدر الإشارة إلى أن أجهزة DIR-600L لا تزال شائعة الاستخدام في المنازل والمكاتب الصغيرة في المملكة العربية السعودية ودول الخليج، خاصة في البيئات التي لم تقم بتحديث بنيتها التحتية الشبكية منذ سنوات.

سيناريوهات الاستغلال المحتملة

يمكن للمهاجم استغلال هذه الثغرة في عدة سيناريوهات خطيرة:

1. الاستغلال من الشبكة المحلية (LAN)

يستطيع أي مهاجم متصل بالشبكة الداخلية — سواء عبر Wi-Fi أو عبر منفذ إيثرنت — الاتصال بخدمة Telnet على المنفذ 23 واستخدام بيانات الاعتماد المكشوفة للحصول على صلاحيات root.

2. الاستغلال عن بُعد عبر الإنترنت

في حال كان منفذ Telnet (23) مفتوحاً على واجهة WAN بسبب خطأ في الإعداد أو بسبب إعادة توجيه المنافذ (Port Forwarding)، يصبح الجهاز عرضة للاستغلال من أي مكان في العالم.

3. تحويل الجهاز إلى نقطة انطلاق لهجمات أوسع

بعد الحصول على shell بصلاحيات root، يمكن للمهاجم:

  • اعتراض حركة المرور الشبكية (Man-in-the-Middle).
  • سرقة بيانات الاعتماد وجلسات المستخدمين.
  • تحويل الجهاز إلى جزء من شبكة بوتات (Botnet) مثل Mirai.
  • شن هجمات حجب الخدمة الموزعة (DDoS) ضد أهداف أخرى.
  • التمحور (Pivoting) نحو أجهزة أخرى داخل الشبكة الداخلية.
  • زرع برامج ضارة مستمرة في البرنامج الثابت.

الخطورة على البيئة السعودية والخليجية

رسم يوضح ثغرة D-Link DIR-600L وباباً خلفياً عبر Telnet يهدد الشبكة

تكتسب هذه الثغرة أهمية خاصة في السياق السعودي والخليجي لعدة أسباب:

  • الانتشار الواسع للأجهزة المنزلية والمكتبية: لا تزال أجهزة D-Link منتشرة في المنازل والمكاتب الصغيرة والمتوسطة (SMBs) في المملكة.
  • التوجه الوطني نحو رؤية 2030: تعتمد خطط التحول الرقمي على بنية شبكية آمنة، وأي جهاز مخترق يُشكل تهديداً للمبادرات الحكومية والخاصة.
  • متطلبات هيئة الاتصالات والفضاء والتقنية (CST/CITC): تفرض الهيئة معايير صارمة على مشغلي الشبكات ومزودي خدمات الاستضافة للحفاظ على أمن الأجهزة المتصلة.
  • الضوابط الأساسية للأمن السيبراني (ECC) من الهيئة الوطنية للأمن السيبراني (NCA): تُلزم الجهات الحكومية والحيوية بإزالة الأجهزة التي وصلت إلى نهاية عمرها التشغيلي.

خطوات عملية لمسؤولي الاستضافة وتقنية المعلومات في السعودية

الإجراء الفوري: العزل والاستبدال

نظراً لعدم وجود تحديث أمني متاح، فإن الحل الوحيد الفعّال هو:

  1. جرد الأجهزة: قم بفحص شامل للبنية التحتية الشبكية للتعرف على أي أجهزة D-Link DIR-600L B1.
  2. الاستبدال الفوري: قم باستبدال الأجهزة المتأثرة بأجهزة حديثة مدعومة من الشركة المصنعة وتتلقى تحديثات أمنية منتظمة.
  3. العزل المؤقت: في حال تعذر الاستبدال الفوري، ضع الجهاز في شبكة معزولة (VLAN) خلف جدار حماية صارم.

تدابير تقنية للتخفيف المؤقت

  • تعطيل Telnet: قم بتعطيل خدمة Telnet من واجهة الإدارة إن أمكن (رغم أن الباب الخلفي قد يبقى نشطاً في مستوى النظام).
  • إغلاق المنفذ 23: تأكد من أن المنفذ 23 (Telnet) مُغلق تماماً على واجهة WAN.
  • تقسيم الشبكة (Network Segmentation): افصل الأجهزة غير الموثوقة في شبكة فرعية مستقلة.
  • مراقبة حركة المرور: استخدم أدوات IDS/IPS لرصد أي محاولات اتصال على المنفذ 23.
  • قائمة التحكم في الوصول (ACL): قيّد الوصول إلى واجهة الإدارة بعناوين IP محددة فقط.

تدابير إدارية وتنظيمية

  • وضع سياسة واضحة لإدارة دورة حياة الأجهزة الشبكية (Hardware Lifecycle Management).
  • منع شراء أو نشر أي جهاز وصل إلى نهاية عمره التشغيلي EOL.
  • توثيق جميع الأصول الشبكية وحالتها في سجل الأصول (Asset Register).
  • التنسيق مع المركز الوطني الإرشادي للأمن السيبراني (HCC) في حال رصد أي نشاط مشبوه.

كيفية الكشف عن الاستغلال

رجل سعودي يفحص ثغرة جهاز D-Link DIR-600L وباب خلفي Telnet يستغله هاكر

للتأكد من عدم استغلال الجهاز، يُنصح بمراجعة المؤشرات التالية:

  • فحص سجلات جدار الحماية بحثاً عن اتصالات صادرة غير معتادة من عنوان IP الخاص بالجهاز.
  • مراقبة استهلاك الباندويدث الشبكي — ارتفاع غير مبرر قد يدل على مشاركة الجهاز في هجمات DDoS.
  • البحث عن اتصالات قادمة على المنفذ 23 من عناوين خارجية.
  • استخدام أدوات مسح مثل nmap للتأكد من حالة منفذ Telnet: nmap -p 23 <ip>.
  • محاولة تسجيل الدخول ببيانات الاعتماد المكشوفة للتحقق من وجود الباب الخلفي (داخل بيئة اختبار مُصرّح بها فقط).

دور مزودي خدمات الاستضافة السعوديين

يتحمل مزودو الاستضافة ومراكز البيانات المحلية في المملكة — وبخاصة تلك المرخصة من هيئة الاتصالات والفضاء والتقنية — مسؤولية حماية عملائهم من خلال:

  • فحص دوري للأجهزة الشبكية الموجودة في مراكز البيانات.
  • توعية العملاء بمخاطر الأجهزة التي وصلت لنهاية عمرها.
  • تقديم خدمات استبدال ونقل البنية التحتية إلى أجهزة حديثة ومدعومة.
  • الالتزام بمتطلبات ISO 27001 في إدارة الأصول والتحكم بالمخاطر.

في 4Jawaly، وبوصفنا شركة سعودية مرخصة من هيئة الاتصالات والفضاء والتقنية (الترخيص رقم 291-10-32) وحاصلة على شهادة ISO 27001، فإننا نؤكد على أهمية اتباع أفضل الممارسات في إدارة دورة حياة الأصول التقنية، وخاصة الأجهزة الشبكية الحساسة.

الخلاصة والتوصيات النهائية

تمثل ثغرة CVE-2026-42374 تهديداً دائماً لا يمكن معالجته بالتحديثات البرمجية، والحل الوحيد الفعّال هو الاستبدال الكامل لأجهزة D-Link DIR-600L B1 بأجهزة حديثة مدعومة. إن الاستمرار في استخدام هذه الأجهزة يُعرّض البنية التحتية الشبكية لمخاطر جسيمة، قد تصل إلى اختراق كامل للشبكة وتسريب البيانات الحساسة.

ندعو جميع مسؤولي تقنية المعلومات في المملكة العربية السعودية إلى اتخاذ إجراءات فورية لجرد أجهزتهم الشبكية واستبدال الأجهزة التي وصلت إلى نهاية عمرها، امتثالاً لمتطلبات الهيئة الوطنية للأمن السيبراني، وحمايةً للبيانات الوطنية والشخصية.

الأسئلة الأكثر شيوعاً

ما هي ثغرة CVE-2026-42374 وما مدى خطورتها؟
هي ثغرة حرجة بدرجة 9.8 من 10 تتعلق بوجود باب خلفي مزروع في أجهزة D-Link DIR-600L B1 عبر بروتوكول Telnet، ببيانات اعتماد ثابتة (Alphanetworks / wrgn61_dlwbr_dir600L) تمنح المهاجم صلاحيات الجذر الكاملة.
هل يوجد تحديث أمني متاح لهذه الثغرة؟
لا، الجهاز وصل إلى نهاية دورة حياته (End-of-Life) ولن تصدر D-Link أي تحديثات أمنية. الحل الوحيد هو الاستبدال الكامل للجهاز بجهاز حديث مدعوم.
كيف أعرف إذا كانت شبكتي تحتوي على أجهزة متأثرة؟
قم بجرد الأجهزة الشبكية وابحث عن D-Link DIR-600L Hardware Revision B1، ثم افحص المنفذ 23 باستخدام nmap. أي جهاز مفتوح فيه Telnet يُعتبر عرضة للاستغلال.
ما موقف الهيئة الوطنية للأمن السيبراني من استخدام أجهزة EOL؟
تُلزم الضوابط الأساسية للأمن السيبراني (ECC) من NCA الجهات الحكومية والحيوية بإزالة الأجهزة منتهية الدعم فوراً، لأنها تُشكل خطراً دائماً على البيانات الوطنية.
هل يكفي تعطيل خدمة Telnet من واجهة الإدارة لحل المشكلة؟
لا يكفي بالضرورة، لأن الباب الخلفي مزروع على مستوى النظام عبر /bin/telnetd.sh وقد يُعاد تفعيله تلقائياً عند كل إقلاع. الحل الآمن الوحيد هو الاستبدال الكامل.

مقالات ذات صلة

مشاهدة المزيد

ثغرة حرجة في راوتر D-Link DIR-605L: باب خلفي Telnet مضمّن وبيانات اعتماد ثابتة

Posted on by wpadmin

مقدمة: تهديد خطير يمس أجهزة التوجيه المنزلية والمكتبية في المملكة

كشف باحثو الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرّف CVE-2026-42373 بدرجة CVSS تصل إلى 9.8 (حرجة)، تصيب أجهزة التوجيه من نوع D-Link DIR-605L Hardware Revision B2. تكمن خطورة هذه الثغرة في وجود باب خلفي (Backdoor) مضمّن داخل البرنامج الثابت (Firmware) للجهاز، يسمح لأي مهاجم متصل بالشبكة المحلية بالحصول على صلاحيات الجذر (Root) الكاملة دون الحاجة إلى اختراق أو تخمين كلمات المرور الخاصة بالمستخدم.

الأخطر من ذلك أن هذا الطراز قد وصل إلى مرحلة نهاية الدعم الفني (End-of-Life – EOL)، ما يعني أن الشركة المصنّعة لن تُصدر أي تحديثات أمنية لمعالجة هذه الثغرة، وهو ما يجعل ملايين الأجهزة المنتشرة حول العالم – بما فيها المملكة العربية السعودية ودول الخليج – أهدافاً سهلة للمهاجمين.

تفاصيل الثغرة التقنية

أوضح التحليل الفني أن البرنامج الثابت لجهاز D-Link DIR-605L B2 يحتوي على سكربت تمهيد (Boot Script) باسم /bin/telnetd.sh يقوم تلقائياً عند إقلاع الجهاز بتشغيل خدمة telnet daemon بصلاحيات مرتفعة. وتقوم هذه الخدمة بقراءة بيانات الاعتماد من ملف ثابت داخل نظام الملفات:

  • اسم المستخدم: Alphanetworks
  • كلمة المرور الثابتة: wrgn76_dlwbr_dir605L
  • مسار ملف بيانات الاعتماد: /etc/alpha_config/image_sign

يستخدم الجهاز نسخة مخصّصة من ثنائي telnetd يقبل معامل -u user:password، بينما تستخدم النسخة المخصّصة من ثنائي login دالة strcmp() للتحقق من صحة بيانات الدخول. وبمجرد نجاح المصادقة، يحصل المهاجم على غلاف جذر (Root Shell) بصلاحيات إدارية كاملة على الجهاز.

تصنيف الثغرة ضمن معايير CWE

مسؤول تقنية سعودي يفحص راوتر D-Link DIR-605L مع قفل وتحذير ثغرة Telnet

تندرج هذه الثغرة تحت التصنيف CWE-798: Use of Hard-coded Credentials (استخدام بيانات اعتماد مضمّنة بشكل ثابت)، وهو من أخطر التصنيفات الأمنية لأنه:

  • لا يمكن للمستخدم النهائي تغيير هذه البيانات أو إزالتها.
  • يمكن استخراجها بسهولة من صورة البرنامج الثابت باستخدام أدوات الهندسة العكسية.
  • تكون هذه البيانات عادةً متطابقة على جميع الأجهزة من نفس الطراز، ما يعني أن اكتشاف كلمة مرور واحدة يكشف ملايين الأجهزة.

الأنظمة المتأثرة

تشمل الأجهزة المعرّضة للخطر ما يلي:

  • D-Link DIR-605L Hardware Revision B2 – جميع إصدارات البرنامج الثابت.
  • الجهاز وصل إلى مرحلة نهاية الدعم (EOL) ولن يتلقى أي تحديثات أمنية مستقبلية من الشركة المصنّعة.

تجدر الإشارة إلى أن هذا الطراز كان من الأكثر انتشاراً في الأسواق العربية خلال السنوات الماضية، وقد يكون لا يزال مستخدماً في المنازل، المكاتب الصغيرة والمتوسطة، وبعض الفروع البعيدة للشركات والمؤسسات في المملكة ودول الخليج.

سيناريو الاستغلال وخطورته

رسم يوضح مخاطر ثغرة D-Link DIR-605L مع قفل رقمي وتنبيه أمني

يستطيع المهاجم استغلال هذه الثغرة عبر الخطوات التالية:

  1. الاتصال بالشبكة المحلية التي يتواجد فيها الجهاز (سواء عبر Wi-Fi أو شبكة سلكية).
  2. إجراء مسح للشبكة لتحديد عنوان IP الخاص بالراوتر والمنافذ المفتوحة (خاصةً منفذ 23 – Telnet).
  3. الاتصال بخدمة Telnet باستخدام بيانات الاعتماد المضمّنة.
  4. الحصول فوراً على صلاحيات Root كاملة.

الآثار المحتملة لنجاح الاستغلال تشمل:

  • اعتراض وتعديل حركة مرور الشبكة بالكامل (Man-in-the-Middle).
  • سرقة بيانات الاعتماد الخاصة بالبنوك، البريد الإلكتروني، وحسابات العمل.
  • تحويل الراوتر إلى عقدة ضمن شبكة Botnet لتنفيذ هجمات DDoS.
  • استخدام الجهاز كنقطة انطلاق لاختراق أجهزة أخرى داخل الشبكة الداخلية.
  • تعديل إعدادات DNS لتوجيه المستخدمين إلى مواقع تصيّد احتيالي.
  • زرع برمجيات خبيثة دائمة في البرنامج الثابت يصعب اكتشافها وإزالتها.

السياق المحلي: لماذا يجب على مسؤولي الأنظمة في المملكة الاهتمام؟

تولي هيئة الاتصالات والفضاء والتقنية (CST) – المعروفة سابقاً بهيئة الاتصالات وتقنية المعلومات (CITC) – اهتماماً كبيراً بأمن الأجهزة المتصلة بالشبكات في المملكة، في ظل رؤية 2030 والتحول الرقمي الشامل. كما تُصدر الهيئة الوطنية للأمن السيبراني (NCA) باستمرار توجيهات وضوابط تلزم الجهات الحكومية والقطاعات الحيوية بتطبيق أفضل الممارسات الأمنية.

إن استخدام أجهزة منتهية الدعم الفني مثل D-Link DIR-605L B2 يُعدّ مخالفة صريحة لعدة ضوابط من الضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن NCA، خاصةً ما يتعلق بـ:

  • ضابط إدارة الأصول التقنية (ECC-2-1).
  • ضابط إدارة الثغرات (ECC-2-10).
  • ضابط حماية الشبكات (ECC-2-5).

كما أن شركات الاستضافة السعودية والمزودين المحليين لخدمات الإنترنت يجب أن يحذّروا عملاءهم من استخدام هذه الأجهزة، خاصةً في البيئات التي تتعامل مع بيانات حساسة أو مدفوعات إلكترونية.

خطوات عملية لمسؤولي الأنظمة في المملكة ودول الخليج

1. الاستبدال الفوري للأجهزة المتأثرة

مسؤول تقنية سعودي يفحص ثغرة D-Link DIR-605L مع راوتر مقيد وتنبيه أمني

الحل الوحيد الجذري لهذه الثغرة هو استبدال الجهاز بالكامل بطراز حديث يتلقى تحديثات أمنية منتظمة. يُنصح باختيار أجهزة من شركات موثوقة تدعم معايير الأمان الحديثة مثل WPA3 وتلتزم بتحديثات البرنامج الثابت لسنوات عديدة.

2. إجراءات تخفيف مؤقتة (إذا تعذّر الاستبدال الفوري)

  • عزل الجهاز في شبكة VLAN منفصلة بعيداً عن الأنظمة الحساسة.
  • تعطيل منفذ Telnet (23) عبر جدار الحماية الخارجي إن أمكن.
  • تفعيل فلترة عناوين MAC للحدّ من الأجهزة التي يمكنها الاتصال بالشبكة.
  • مراقبة سجلات حركة المرور الصادرة والواردة للكشف عن أي نشاط غير طبيعي.
  • تعطيل الإدارة عن بُعد عبر الواجهة الخارجية (WAN).

3. مسح الشبكة لاكتشاف الأجهزة المتأثرة

يمكن استخدام أدوات مثل nmap لمسح الشبكة الداخلية والبحث عن منفذ Telnet المفتوح:

nmap -p 23 --open 192.168.1.0/24

كما يمكن استخدام أدوات إدارة الأصول مثل Lansweeper أو Rumble لتحديد جميع الأجهزة من نوع DIR-605L في البيئة المؤسسية.

4. تطبيق مبدأ الثقة الصفرية (Zero Trust)

يُوصى بعدم الوثوق في أي جهاز متصل بالشبكة الداخلية، وتطبيق سياسات تقسيم دقيقة للشبكة (Microsegmentation)، بحيث لا يستطيع جهاز مخترق الوصول إلى موارد حساسة.

5. تعزيز المراقبة الأمنية

يجب تفعيل حلول رصد الشبكة مثل IDS/IPS وربطها بنظام SIEM مركزي، والبحث تحديداً عن:

  • محاولات اتصال Telnet داخل الشبكة.
  • استخدام اسم المستخدم Alphanetworks.
  • تغييرات غير معتادة في إعدادات DNS لأجهزة المستخدمين.

دور 4jawaly في دعم الأمن السيبراني للمؤسسات السعودية

في ظل تزايد التهديدات السيبرانية، تحرص شركة فورجوالي (4jawaly) – المرخّصة من هيئة الاتصالات والفضاء والتقنية (CST) برقم 291-10-32 والحاصلة على شهادة ISO 27001 – على تقديم خدمات اتصالات وحلول استضافة تلتزم بأعلى معايير الأمان. تشمل خدماتنا:

  • خدمات الرسائل النصية القصيرة (SMS) الآمنة لتنبيه المستخدمين عن أي نشاط مشبوه.
  • واجهات WhatsApp Business API للتواصل الآمن مع العملاء.
  • حلول استضافة ويب محلية داخل مراكز بيانات سعودية موثوقة.
  • روبوتات محادثة ذكية (AI Chatbots) لتعزيز خدمة العملاء.

التوصيات النهائية

نظراً لخطورة ثغرة CVE-2026-42373 ودرجة CVSS العالية (9.8)، ولأن الجهاز المتأثر وصل إلى نهاية دعمه الفني، فإن التوصية القاطعة هي:

  1. التوقف فوراً عن استخدام جهاز D-Link DIR-605L B2 في أي بيئة إنتاجية أو حساسة.
  2. استبداله بطراز حديث مدعوم رسمياً.
  3. مراجعة جميع أجهزة الشبكة ضمن دورة حياة منتظمة للتأكد من عدم استخدام أجهزة منتهية الدعم.
  4. تطبيق سياسة واضحة لإدارة دورة حياة الأصول التقنية ضمن منظومة الحوكمة الأمنية.

الخاتمة

تُمثّل ثغرة CVE-2026-42373 مثالاً صارخاً على مخاطر الأبواب الخلفية المضمّنة في أجهزة الشبكات، وعلى خطورة الاستمرار في استخدام أجهزة منتهية الدعم. نحثّ جميع مسؤولي تقنية المعلومات ومديري الاستضافة في المملكة العربية السعودية ودول الخليج على التحرك السريع لتقييم بيئاتهم واستبدال الأجهزة المتأثرة قبل أن تُستغل هذه الثغرة على نطاق واسع.

الأسئلة الأكثر شيوعاً

ما مدى خطورة ثغرة CVE-2026-42373؟
الثغرة مصنّفة حرجة بدرجة CVSS 9.8 من 10، وتسمح لأي مهاجم على الشبكة المحلية بالحصول على صلاحيات Root كاملة على الجهاز دون الحاجة إلى أي مصادقة فعلية.
هل ستُصدر D-Link تحديثاً لإصلاح الثغرة؟
لا. جهاز DIR-605L Hardware Revision B2 وصل إلى نهاية الدعم الفني (EOL)، ولن تُصدر الشركة أي تحديثات أمنية. الحل الوحيد هو استبدال الجهاز.
كيف يمكنني معرفة ما إذا كانت شبكتي تستخدم هذا الجهاز؟
يمكن استخدام أدوات مسح الشبكة مثل nmap للبحث عن منفذ Telnet المفتوح (23)، أو مراجعة ملصق الجهاز للتأكد من الطراز والإصدار (Hardware Revision B2).
هل يكفي تغيير كلمة مرور الراوتر لحل المشكلة؟
لا. كلمة المرور مضمّنة بشكل ثابت في البرنامج الثابت ولا يمكن تغييرها من واجهة المستخدم. الحل الوحيد هو استبدال الجهاز.
ما علاقة هذه الثغرة بضوابط الهيئة الوطنية للأمن السيبراني؟
استخدام أجهزة منتهية الدعم يخالف ضوابط ECC المتعلقة بإدارة الأصول التقنية وإدارة الثغرات وحماية الشبكات، وقد يعرّض المؤسسة للمساءلة التنظيمية.

مقالات ذات صلة

مشاهدة المزيد