الوسم: راوتر

◎مقدمة: ثغرة خطيرة في أجهزة راوتر منتشرة في السوق السعودي

كشفت الأبحاث الأمنية الحديثة عن ثغرة أمنية بالغة الخطورة مُصنّفة تحت المعرّف CVE-2026-42374 بدرجة خطورة 9.8 من 10 (حرجة) وفق مقياس CVSS v3.1، تستهدف أجهزة التوجيه (الراوتر) من طراز D-Link DIR-600L Hardware Revision B1. تتمثل الثغرة في وجود باب خلفي (Backdoor) مزروع بشكل متعمد في البرنامج الثابت (Firmware) للجهاز، يسمح لأي مهاجم على الشبكة المحلية بالحصول على صلاحيات الجذر (Root) كاملة دون الحاجة إلى أي مصادقة مشروعة.

الأخطر من ذلك أن هذه الأجهزة قد وصلت إلى نهاية دورة حياتها (End-of-Life)، مما يعني أن الشركة المصنّعة لن تُصدر أي تحديثات أمنية لإصلاح هذه الثغرة، مما يُحتّم على مدراء الأنظمة ومسؤولي الاستضافة في المملكة العربية السعودية ودول الخليج اتخاذ إجراءات فورية وصارمة.

◎التفاصيل التقنية للثغرة

تعمل ثغرة CVE-2026-42374 على استغلال وجود بيانات اعتماد مُدمجة بشكل صريح (Hardcoded Credentials) في البرنامج الثابت للجهاز، وهو ما يُصنّف ضمن تصنيف CWE-798: Use of Hard-coded Credentials. عند إقلاع الجهاز، يتم تشغيل خدمة Telnet تلقائيًا عبر السكربت /bin/telnetd.sh باستخدام بيانات الاعتماد التالية:

• اسم المستخدم: Alphanetworks
• كلمة المرور الثابتة: wrgn61_dlwbr_dir600L

يتم تخزين كلمة المرور في الملف /etc/alpha_config/image_sign، ويتم قراءتها من قِبَل النسخة المُعدّلة من خدمة telnetd التي تقبل المُعامل -u user:password. كما أن ملف login المُعدّل يستخدم دالة strcmp() البسيطة للتحقق من صحة بيانات الاعتماد، دون أي طبقة حماية إضافية مثل التجزئة (Hashing) أو التحقق متعدد العوامل.

سيناريو الاستغلال

يمكن للمهاجم المتواجد على الشبكة المحلية (سواء شبكة Wi-Fi أو شبكة سلكية متصلة بالجهاز) تنفيذ الخطوات التالية للسيطرة الكاملة على الراوتر:

1. فحص الشبكة المحلية للكشف عن الأجهزة التي تُشغّل خدمة Telnet على المنفذ 23.
2. الاتصال بالجهاز عبر Telnet باستخدام الأمر: telnet [عنوان IP الجهاز]
3. إدخال اسم المستخدم Alphanetworks وكلمة المرور wrgn61_dlwbr_dir600L.
4. الحصول الفوري على صدفة جذر (Root Shell) بصلاحيات إدارية كاملة.

◎الأنظمة المتأثرة

تؤثر هذه الثغرة بشكل مباشر على:

• D-Link DIR-600L Hardware Revision B1 (جميع إصدارات البرامج الثابتة)
• الأجهزة التي وصلت إلى مرحلة نهاية الدعم الفني (EOL)
• جميع الشبكات المنزلية والمكتبية الصغيرة التي تستخدم هذا الطراز

تجدر الإشارة إلى أن أجهزة D-Link DIR-600L منتشرة بشكل واسع في السوق السعودي والخليجي، وقد تم توزيعها عبر عدد من متاجر الإلكترونيات ومزودي خدمة الإنترنت خلال السنوات الماضية، مما يجعل المخاطر مضاعفة في البيئات السكنية والمكاتب الصغيرة والمتوسطة (SMB).

◎تأثير الثغرة وخطورتها

نظرًا لأن المهاجم يحصل على صلاحيات الجذر الكاملة، فإنه يستطيع تنفيذ مجموعة من الهجمات الخطيرة، منها:

• اعتراض حركة المرور (Traffic Interception): التجسس على جميع البيانات المارة عبر الراوتر بما فيها كلمات المرور والمعلومات البنكية.
• هجمات Man-in-the-Middle: تعديل محتوى الصفحات أو إعادة توجيه المستخدمين إلى مواقع تصيد احتيالي.
• خطف DNS: تغيير إعدادات DNS لإعادة توجيه حركة المرور إلى خوادم خبيثة.
• استخدام الجهاز كنقطة انطلاق: لشن هجمات على أجهزة داخلية أخرى ضمن الشبكة.
• تجنيد الجهاز ضمن شبكات بوت نت (Botnets): مثل شبكة Mirai المعروفة بمهاجمة أجهزة IoT.
• تركيب برامج خبيثة دائمة (Persistent Malware): يصعب اكتشافها وإزالتها.

◎السياق المحلي: أهمية الإجراء السريع في المملكة

في ضوء التوجهات الرقمية لرؤية المملكة 2030 ومساعي هيئة الاتصالات والفضاء والتقنية (CST) (سابقًا CITC) لتعزيز الأمن السيبراني، تأتي هذه الثغرة لتُذكّرنا بأهمية تأمين البنية التحتية الشبكية حتى على مستوى الأجهزة الاستهلاكية. كما تتماشى متطلبات الهيئة الوطنية للأمن السيبراني (NCA) مع ضرورة استبدال الأجهزة التي وصلت لنهاية دورة حياتها، وفقًا للضوابط الأساسية للأمن السيبراني ECC-1:2018 والضوابط الخاصة بالأنظمة الحساسة CSCC-1:2019.

كما أن مزودي الاستضافة المحليين ومراكز البيانات في المملكة مثل تلك المتواجدة في الرياض وجدة والدمام، يجب أن يُنبّهوا عملاءهم من مخاطر استخدام أجهزة شبكية منتهية الدعم في بيئات العمل، خاصة تلك المتصلة بأنظمة الإدارة عن بُعد أو VPN للوصول إلى خوادم الإنتاج.

◎خطوات الحماية الموصى بها لمدراء الأنظمة السعوديين

أولًا: الإجراءات الفورية (خلال 24 ساعة)

1. فصل الجهاز فورًا عن الإنترنت إذا كان يُستخدم في بيئة حساسة.
2. تعطيل خدمة Telnet من واجهة إدارة الجهاز إن أمكن (رغم أن الباب الخلفي قد يبقى فعّالًا).
3. عزل الجهاز شبكيًا عبر وضعه في شبكة VLAN منفصلة عن الأنظمة الحساسة.
4. فحص الجهاز باستخدام أدوات مثل nmap للتأكد من حالة المنفذ 23:
   nmap -p 23 [عنوان IP]

ثانيًا: الإجراءات قصيرة المدى (خلال أسبوع)

• استبدال الجهاز كليًا بأجهزة حديثة مدعومة من الشركة المصنّعة.
• اختيار أجهزة تدعم WPA3 وتحديثات OTA تلقائية.
• تفعيل التسجيل الأمني (Security Logging) ومراقبة المحاولات المشبوهة.
• مراجعة جميع إعدادات إعادة توجيه المنافذ (Port Forwarding) للتأكد من عدم تعريض Telnet للإنترنت.

ثالثًا: الإجراءات طويلة المدى

• إنشاء سياسة إدارة دورة حياة الأجهزة (Hardware Lifecycle Management) تحدد متى يجب استبدال الأجهزة.
• تطبيق مبدأ الثقة الصفرية (Zero Trust) حتى داخل الشبكة المحلية.
• إجراء تقييمات أمنية دورية للبنية التحتية الشبكية كل 6 أشهر.
• الاشتراك في تنبيهات الثغرات من المركز الوطني الإرشادي للأمن السيبراني.

◎كيفية اكتشاف ما إذا كان جهازك مُخترقًا

لمعرفة ما إذا كان الجهاز قد تعرّض للاختراق بالفعل، يُنصح بالتحقق من المؤشرات التالية:

• بطء غير مبرر في الشبكة أو حركة مرور مشبوهة.
• تغيير إعدادات DNS دون تدخل المسؤول.
• ظهور مستخدمين جدد في قائمة الأجهزة المتصلة.
• تعديلات على قواعد جدار الحماية (Firewall Rules).
• تواصل الجهاز مع عناوين IP غير معروفة خارجيًا (يمكن رصدها عبر أدوات مراقبة الشبكة).

◎توصيات 4Jawaly لحماية الأعمال السعودية

نظرًا لطبيعة التهديد وانتشار الأجهزة المتأثرة، توصي فورجوالي (4Jawaly) – الشركة السعودية الحاصلة على ترخيص هيئة الاتصالات (291-10-32) وشهادة ISO 27001 – بما يلي:

• دمج خدمات SMS للتنبيهات الأمنية لإعلام مسؤولي الأنظمة فورًا عند اكتشاف نشاط شبكي مشبوه.
• استخدام روبوتات المحادثة الذكية (AI Chatbots) لتوعية الموظفين بأساسيات الأمن السيبراني.
• الاعتماد على خدمات الاستضافة السحابية الآمنة في مراكز البيانات المحلية بدلًا من الاعتماد على بنية شبكية منزلية ضعيفة.
• تطبيق المصادقة الثنائية (2FA) عبر OTP SMS لجميع أنظمة الإدارة عن بُعد.

◎خاتمة

تُمثّل ثغرة CVE-2026-42374 تذكيرًا صارخًا بأن الأجهزة منتهية الدعم تُشكّل خطرًا مُضاعفًا على المؤسسات والأفراد في المملكة العربية السعودية ومنطقة الخليج. الاستخفاف بهذه المخاطر قد يؤدي إلى خسائر مادية ومعلوماتية جسيمة، خاصة في ظل تصاعد الهجمات السيبرانية الموجّهة للمنطقة. الحل الأمثل هو الاستبدال الفوري لهذه الأجهزة مع اعتماد ممارسات الأمن السيبراني الحديثة التي تتوافق مع الضوابط الوطنية والمعايير الدولية.

◎مقدمة: تهديد خطير يمس أجهزة التوجيه المنزلية والمكتبية في المملكة

كشف باحثو الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرّف CVE-2026-42373 بدرجة CVSS تصل إلى 9.8 (حرجة)، تصيب أجهزة التوجيه من نوع D-Link DIR-605L Hardware Revision B2. تكمن خطورة هذه الثغرة في وجود باب خلفي (Backdoor) مضمّن داخل البرنامج الثابت (Firmware) للجهاز، يسمح لأي مهاجم متصل بالشبكة المحلية بالحصول على صلاحيات الجذر (Root) الكاملة دون الحاجة إلى اختراق أو تخمين كلمات المرور الخاصة بالمستخدم.

الأخطر من ذلك أن هذا الطراز قد وصل إلى مرحلة نهاية الدعم الفني (End-of-Life – EOL)، ما يعني أن الشركة المصنّعة لن تُصدر أي تحديثات أمنية لمعالجة هذه الثغرة، وهو ما يجعل ملايين الأجهزة المنتشرة حول العالم – بما فيها المملكة العربية السعودية ودول الخليج – أهدافاً سهلة للمهاجمين.

◎تفاصيل الثغرة التقنية

أوضح التحليل الفني أن البرنامج الثابت لجهاز D-Link DIR-605L B2 يحتوي على سكربت تمهيد (Boot Script) باسم /bin/telnetd.sh يقوم تلقائياً عند إقلاع الجهاز بتشغيل خدمة telnet daemon بصلاحيات مرتفعة. وتقوم هذه الخدمة بقراءة بيانات الاعتماد من ملف ثابت داخل نظام الملفات:

• اسم المستخدم: Alphanetworks
• كلمة المرور الثابتة: wrgn76_dlwbr_dir605L
• مسار ملف بيانات الاعتماد: /etc/alpha_config/image_sign

يستخدم الجهاز نسخة مخصّصة من ثنائي telnetd يقبل معامل -u user:password، بينما تستخدم النسخة المخصّصة من ثنائي login دالة strcmp() للتحقق من صحة بيانات الدخول. وبمجرد نجاح المصادقة، يحصل المهاجم على غلاف جذر (Root Shell) بصلاحيات إدارية كاملة على الجهاز.

◎تصنيف الثغرة ضمن معايير CWE

تندرج هذه الثغرة تحت التصنيف CWE-798: Use of Hard-coded Credentials (استخدام بيانات اعتماد مضمّنة بشكل ثابت)، وهو من أخطر التصنيفات الأمنية لأنه:

• لا يمكن للمستخدم النهائي تغيير هذه البيانات أو إزالتها.
• يمكن استخراجها بسهولة من صورة البرنامج الثابت باستخدام أدوات الهندسة العكسية.
• تكون هذه البيانات عادةً متطابقة على جميع الأجهزة من نفس الطراز، ما يعني أن اكتشاف كلمة مرور واحدة يكشف ملايين الأجهزة.

◎الأنظمة المتأثرة

تشمل الأجهزة المعرّضة للخطر ما يلي:

• D-Link DIR-605L Hardware Revision B2 – جميع إصدارات البرنامج الثابت.
• الجهاز وصل إلى مرحلة نهاية الدعم (EOL) ولن يتلقى أي تحديثات أمنية مستقبلية من الشركة المصنّعة.

تجدر الإشارة إلى أن هذا الطراز كان من الأكثر انتشاراً في الأسواق العربية خلال السنوات الماضية، وقد يكون لا يزال مستخدماً في المنازل، المكاتب الصغيرة والمتوسطة، وبعض الفروع البعيدة للشركات والمؤسسات في المملكة ودول الخليج.

◎سيناريو الاستغلال وخطورته

يستطيع المهاجم استغلال هذه الثغرة عبر الخطوات التالية:

1. الاتصال بالشبكة المحلية التي يتواجد فيها الجهاز (سواء عبر Wi-Fi أو شبكة سلكية).
2. إجراء مسح للشبكة لتحديد عنوان IP الخاص بالراوتر والمنافذ المفتوحة (خاصةً منفذ 23 – Telnet).
3. الاتصال بخدمة Telnet باستخدام بيانات الاعتماد المضمّنة.
4. الحصول فوراً على صلاحيات Root كاملة.

الآثار المحتملة لنجاح الاستغلال تشمل:

• اعتراض وتعديل حركة مرور الشبكة بالكامل (Man-in-the-Middle).
• سرقة بيانات الاعتماد الخاصة بالبنوك، البريد الإلكتروني، وحسابات العمل.
• تحويل الراوتر إلى عقدة ضمن شبكة Botnet لتنفيذ هجمات DDoS.
• استخدام الجهاز كنقطة انطلاق لاختراق أجهزة أخرى داخل الشبكة الداخلية.
• تعديل إعدادات DNS لتوجيه المستخدمين إلى مواقع تصيّد احتيالي.
• زرع برمجيات خبيثة دائمة في البرنامج الثابت يصعب اكتشافها وإزالتها.

◎السياق المحلي: لماذا يجب على مسؤولي الأنظمة في المملكة الاهتمام؟

تولي هيئة الاتصالات والفضاء والتقنية (CST) – المعروفة سابقاً بهيئة الاتصالات وتقنية المعلومات (CITC) – اهتماماً كبيراً بأمن الأجهزة المتصلة بالشبكات في المملكة، في ظل رؤية 2030 والتحول الرقمي الشامل. كما تُصدر الهيئة الوطنية للأمن السيبراني (NCA) باستمرار توجيهات وضوابط تلزم الجهات الحكومية والقطاعات الحيوية بتطبيق أفضل الممارسات الأمنية.

إن استخدام أجهزة منتهية الدعم الفني مثل D-Link DIR-605L B2 يُعدّ مخالفة صريحة لعدة ضوابط من الضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن NCA، خاصةً ما يتعلق بـ:

• ضابط إدارة الأصول التقنية (ECC-2-1).
• ضابط إدارة الثغرات (ECC-2-10).
• ضابط حماية الشبكات (ECC-2-5).

كما أن شركات الاستضافة السعودية والمزودين المحليين لخدمات الإنترنت يجب أن يحذّروا عملاءهم من استخدام هذه الأجهزة، خاصةً في البيئات التي تتعامل مع بيانات حساسة أو مدفوعات إلكترونية.

◎خطوات عملية لمسؤولي الأنظمة في المملكة ودول الخليج

1. الاستبدال الفوري للأجهزة المتأثرة

الحل الوحيد الجذري لهذه الثغرة هو استبدال الجهاز بالكامل بطراز حديث يتلقى تحديثات أمنية منتظمة. يُنصح باختيار أجهزة من شركات موثوقة تدعم معايير الأمان الحديثة مثل WPA3 وتلتزم بتحديثات البرنامج الثابت لسنوات عديدة.

2. إجراءات تخفيف مؤقتة (إذا تعذّر الاستبدال الفوري)

• عزل الجهاز في شبكة VLAN منفصلة بعيداً عن الأنظمة الحساسة.
• تعطيل منفذ Telnet (23) عبر جدار الحماية الخارجي إن أمكن.
• تفعيل فلترة عناوين MAC للحدّ من الأجهزة التي يمكنها الاتصال بالشبكة.
• مراقبة سجلات حركة المرور الصادرة والواردة للكشف عن أي نشاط غير طبيعي.
• تعطيل الإدارة عن بُعد عبر الواجهة الخارجية (WAN).

3. مسح الشبكة لاكتشاف الأجهزة المتأثرة

يمكن استخدام أدوات مثل nmap لمسح الشبكة الداخلية والبحث عن منفذ Telnet المفتوح:

nmap -p 23 --open 192.168.1.0/24

كما يمكن استخدام أدوات إدارة الأصول مثل Lansweeper أو Rumble لتحديد جميع الأجهزة من نوع DIR-605L في البيئة المؤسسية.

4. تطبيق مبدأ الثقة الصفرية (Zero Trust)

يُوصى بعدم الوثوق في أي جهاز متصل بالشبكة الداخلية، وتطبيق سياسات تقسيم دقيقة للشبكة (Microsegmentation)، بحيث لا يستطيع جهاز مخترق الوصول إلى موارد حساسة.

5. تعزيز المراقبة الأمنية

يجب تفعيل حلول رصد الشبكة مثل IDS/IPS وربطها بنظام SIEM مركزي، والبحث تحديداً عن:

• محاولات اتصال Telnet داخل الشبكة.
• استخدام اسم المستخدم Alphanetworks.
• تغييرات غير معتادة في إعدادات DNS لأجهزة المستخدمين.

◎دور 4jawaly في دعم الأمن السيبراني للمؤسسات السعودية

في ظل تزايد التهديدات السيبرانية، تحرص شركة فورجوالي (4jawaly) – المرخّصة من هيئة الاتصالات والفضاء والتقنية (CST) برقم 291-10-32 والحاصلة على شهادة ISO 27001 – على تقديم خدمات اتصالات وحلول استضافة تلتزم بأعلى معايير الأمان. تشمل خدماتنا:

• خدمات الرسائل النصية القصيرة (SMS) الآمنة لتنبيه المستخدمين عن أي نشاط مشبوه.
• واجهات WhatsApp Business API للتواصل الآمن مع العملاء.
• حلول استضافة ويب محلية داخل مراكز بيانات سعودية موثوقة.
• روبوتات محادثة ذكية (AI Chatbots) لتعزيز خدمة العملاء.

◎التوصيات النهائية

نظراً لخطورة ثغرة CVE-2026-42373 ودرجة CVSS العالية (9.8)، ولأن الجهاز المتأثر وصل إلى نهاية دعمه الفني، فإن التوصية القاطعة هي:

1. التوقف فوراً عن استخدام جهاز D-Link DIR-605L B2 في أي بيئة إنتاجية أو حساسة.
2. استبداله بطراز حديث مدعوم رسمياً.
3. مراجعة جميع أجهزة الشبكة ضمن دورة حياة منتظمة للتأكد من عدم استخدام أجهزة منتهية الدعم.
4. تطبيق سياسة واضحة لإدارة دورة حياة الأصول التقنية ضمن منظومة الحوكمة الأمنية.

◎الخاتمة

تُمثّل ثغرة CVE-2026-42373 مثالاً صارخاً على مخاطر الأبواب الخلفية المضمّنة في أجهزة الشبكات، وعلى خطورة الاستمرار في استخدام أجهزة منتهية الدعم. نحثّ جميع مسؤولي تقنية المعلومات ومديري الاستضافة في المملكة العربية السعودية ودول الخليج على التحرك السريع لتقييم بيئاتهم واستبدال الأجهزة المتأثرة قبل أن تُستغل هذه الثغرة على نطاق واسع.