◎مقدمة: ثغرة حرجة تهدد أجهزة D-Link DIR-456U في الشبكات السعودية
كشف باحثون في الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرف CVE-2026-42376 وتُصنّف بدرجة 9.8 (حرجة) على مقياس CVSS v3.1، تؤثر على أجهزة التوجيه (Routers) من طراز D-Link DIR-456U الإصدار A1. الثغرة عبارة عن باب خلفي (Backdoor) مُضمّن في البرنامج الثابت (Firmware) للجهاز عبر خدمة Telnet، مع بيانات اعتماد (Credentials) ثابتة ومشفّرة مسبقاً داخل ملفات النظام، مما يمنح المهاجم صلاحيات الجذر (root) الكاملة دون الحاجة إلى أي تفاعل من المستخدم.
الأخطر من ذلك أن الجهاز وصل إلى نهاية دورة حياته (End-of-Life) ولن تصدر له الشركة المُصنِّعة أي تحديثات أمنية، مما يجعل جميع الأجهزة العاملة حالياً في الشبكات السعودية والخليجية معرضة بشكل دائم للاختراق ما لم يتم استبدالها أو عزلها فوراً.
◎تفاصيل الثغرة التقنية CVE-2026-42376
تكمن الثغرة في وجود خدمة Telnet daemon يتم تشغيلها تلقائياً عند إقلاع الجهاز من خلال سكريبت التهيئة /etc/init0.d/S80telnetd.sh. يقوم هذا السكريبت بتشغيل نسخة مُعدَّلة من خدمة telnetd تستخدم بيانات دخول ثابتة:
اسم المستخدم:Alphanetworks
كلمة المرور الثابتة:whdrv01_dlob_dir456U (يتم قراءتها من الملف /etc/config/image_sign)
تستخدم النسخة المُخصصة من ثنائي telnetd خياراً غير موثّق هو -u user:password لتمرير بيانات الاعتماد، بينما يعتمد ثنائي login المُعدّل على دالة strcmp() البسيطة للتحقق من صحة بيانات الدخول. هذه التصميمة تمثل انتهاكاً صريحاً لمبادئ الأمن السيبراني وتندرج تحت التصنيف CWE-798: استخدام بيانات اعتماد مشفّرة مسبقاً (Use of Hard-coded Credentials).
سيناريو الاستغلال
بمجرد أن يتمكن المهاجم من الوصول إلى الشبكة المحلية التي يتصل بها الجهاز (سواء عبر Wi-Fi أو اتصال سلكي)، يستطيع تنفيذ الأوامر التالية للحصول على صلاحيات جذر كاملة:
◎(root shell granted)بعد الحصول على صلاحيات الجذر، يمكن للمهاجم:اعتراض جميع حركة المرور (Traffic) المارة عبر الراوتر بما فيها كلمات المرور وبيانات الخدمات المصرفية.تعديل إعدادات DNS لإعادة توجيه المستخدمين إلى مواقع تصيّد احتيالي.زرع برمجيات خبيثة دائمة (Persistent Malware) داخل البرنامج الثابت.استخدام الجهاز كنقطة انطلاق (Pivot Point) لمهاجمة باقي أجهزة الشبكة الداخلية.ضم الجهاز إلى شبكات البوت نت (Botnets) مثل Mirai و Mozi.الأنظمة والأجهزة المتأثرة
تؤثر الثغرة بشكل مؤكد على:
D-Link DIR-456U Hardware Revision A1 — جميع إصدارات البرنامج الثابت.
الأجهزة التي وصلت إلى حالة نهاية الدعم (EOL) ولن تتلقى أي تصحيحات.
من المرجح أيضاً أن تكون نماذج مشابهة من نفس العائلة (التي تعتمد على نفس البرنامج الثابت المُصنَّع من Alphanetworks) تحمل ثغرات مماثلة، ويُنصح بفحصها جميعاً.
◎السياق المحلي: لماذا يجب على مدراء الأنظمة في السعودية أخذ هذه الثغرة على محمل الجد؟
وفقاً لتقارير هيئة الاتصالات وتقنية المعلومات (CITC) والهيئة الوطنية للأمن السيبراني (NCA)، تُعدّ أجهزة التوجيه المنزلية والمكتبية من أكثر نقاط الضعف استهدافاً في المملكة العربية السعودية ودول الخليج. العديد من الشركات الصغيرة والمتوسطة، وكذلك المكاتب الفرعية للشركات الكبرى، تعتمد على أجهزة D-Link بسبب توفرها وانخفاض تكلفتها.
كما أن الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة عن NCA تفرض على الجهات الحكومية وشبه الحكومية استبدال الأجهزة التي وصلت لنهاية دعمها فوراً، وتعتبر وجود أجهزة غير مدعومة في الشبكة مخالفة صريحة للضابط 2-3-3 الخاص بإدارة التحديثات والتصحيحات.
مخاطر خاصة بقطاع الاستضافة والمزودين المحليين
إذا كنت تعمل لدى مزود استضافة سعودي أو مركز بيانات محلي، فإن استخدام أي جهاز DIR-456U في شبكات الإدارة خارج النطاق (Out-of-Band Management) أو كحل احتياطي يُعدّ كارثة أمنية قد تؤدي إلى:
انتهاك متطلبات ISO 27001 الخاصة بإدارة الأصول.
مخالفة سياسة حماية البيانات الشخصية (PDPL) السعودية في حال تسرّب بيانات العملاء.
فقدان ترخيص CITC في حالة ثبوت الإهمال في حماية البنية التحتية.
◎الإجراءات التصحيحية العاجلة لمدراء الأنظمة السعوديين
أولاً: الإجراءات الفورية (خلال 24 ساعة)
جرد شامل: قم بفحص جميع أجهزة التوجيه في منشأتك وتحديد أي جهاز DIR-456U A1 باستخدام أدوات مثل nmap أو Shodan للشبكات الداخلية.
عزل الأجهزة المصابة: إذا كان الاستبدال غير ممكن فوراً، اعزل الجهاز في VLAN منفصل بدون وصول إلى الإنترنت أو البيانات الحساسة.
تعطيل Telnet من الشبكة: قم بحظر المنفذ TCP/23 على جميع الجدران النارية (Firewalls) لمنع أي وصول خارجي.
مراقبة حركة المرور: فعّل تسجيل حركة المرور على المنفذ 23 واستخدم أنظمة IDS/IPS مثل Suricata للكشف عن محاولات الاستغلال.
ثانياً: الحل الجذري (خلال أسبوع)
الاستبدال الكامل: الحل الوحيد الفعلي هو استبدال الجهاز بأحد البدائل المدعومة مثل MikroTik أو Cisco أو Ubiquiti أو D-Link من الطرازات الحديثة المدعومة.
التحقق من سلامة الشبكة: افحص الأجهزة المتصلة بالراوتر المصاب للتأكد من عدم تعرضها للاختراق، خاصة فحص DNS settings على أجهزة المستخدمين.
تغيير جميع كلمات المرور: إذا مرت بيانات حساسة عبر الجهاز المصاب، غيّر جميع كلمات المرور للخدمات الداخلية والسحابية.
ثالثاً: التوعية والتوثيق
وثّق الحادثة ضمن سجل إدارة الحوادث وفقاً لضوابط NCA.
أبلغ عن أي محاولة استغلال عبر المركز الوطني الإرشادي للأمن السيبراني.
درّب فريقك على أهمية التحقق من حالة EOL لكل جهاز شبكي قبل الشراء.
◎كيف يمكن لـ 4Jawaly مساعدتك؟
في ظل هذه التهديدات المتصاعدة، توفر فورجوالي (4Jawaly) — الشركة السعودية الحاصلة على ترخيص CITC رقم 291-10-32 وشهادة ISO 27001 — حلول استضافة آمنة في مراكز بيانات محلية تتبع أحدث معايير الأمن السيبراني، بعيداً عن مخاطر الأجهزة منتهية الدعم. كما يمكنك استخدام خدمات SMS وWhatsApp Business API من 4Jawaly لإرسال تنبيهات أمنية فورية لفريق الاستجابة عند رصد أي نشاط مشبوه على شبكتك.
◎كشف الاختراق: مؤشرات التسلل (IoCs)
راقب المؤشرات التالية التي قد تدل على استغلال نشط للثغرة:
اتصالات Telnet واردة من عناوين IP غير معروفة على المنفذ 23.
وجود عمليات غير متوقعة بصلاحيات root في سجلات الجهاز.
تعديلات غير مصرح بها في ملف /etc/config/image_sign.
تغيير إعدادات DNS إلى خوادم غير مألوفة.
ارتفاع غير مبرر في استهلاك النطاق الترددي الصادر.
◎خاتمة: الدرس المستفاد
تؤكد ثغرة CVE-2026-42376 حقيقة مريرة: الأجهزة منتهية الدعم هي قنابل موقوتة في شبكتك. لا يوجد تصحيح، ولا بديل سوى الاستبدال الفوري. على جميع مدراء الأنظمة في المملكة العربية السعودية ودول الخليج اعتماد سياسة صارمة لإدارة دورة حياة الأجهزة (Asset Lifecycle Management) تتضمن متابعة تواريخ EOL ووضع ميزانيات استبدال سنوية. الأمن السيبراني ليس ترفاً بل ضرورة قانونية وتشغيلية في عصر التحول الرقمي الذي تقوده رؤية المملكة 2030.
الأسئلة الأكثر شيوعاً
هل يمكن تصحيح ثغرة CVE-2026-42376 عبر تحديث البرنامج الثابت؟
لا، جهاز D-Link DIR-456U A1 وصل إلى نهاية دورة حياته (EOL) ولن تصدر له الشركة المُصنِّعة أي تحديثات أمنية. الحل الوحيد هو استبدال الجهاز بطراز مدعوم.
هل الثغرة قابلة للاستغلال عن بُعد من خارج الشبكة؟
الاستغلال الأساسي يتطلب الوصول إلى الشبكة المحلية، لكن إذا كان منفذ Telnet (23) مفتوحاً على الإنترنت أو تم اختراق جهاز داخل الشبكة، يصبح الاستغلال عن بُعد ممكناً وخطيراً جداً.
كيف أكتشف وجود أجهزة DIR-456U في شبكتي؟
استخدم أدوات فحص الشبكة مثل nmap مع السكريبت (nmap -sV -p 23 <subnet>) أو راجع قوائم MAC address الخاصة بـ Alphanetworks/D-Link في جدول ARP الخاص بالسويتش.
ما علاقة هذه الثغرة بالامتثال لضوابط NCA في السعودية؟
وجود أجهزة منتهية الدعم يخالف الضابط 2-3-3 من ECC-1:2018 الخاص بإدارة التحديثات، وقد يعرّض المنشأة لمخالفات تنظيمية وعقوبات من الهيئة الوطنية للأمن السيبراني.
هل تكفي إعادة ضبط المصنع (Factory Reset) لإزالة الباب الخلفي؟
لا، الباب الخلفي مُضمّن في البرنامج الثابت نفسه وبيانات الاعتماد مُخزّنة في ملفات النظام الأساسية، لذا إعادة الضبط لن تزيلها. الاستبدال هو الحل الوحيد.
◎مقدمة: تهديد حرج يطال أجهزة D-Link المنتشرة في المنازل والمكاتب الصغيرة
كشف باحثون في الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرّف CVE-2026-42375 بدرجة خطورة 9.8 (حرجة) وفقاً لمعيار CVSS v3.1، تؤثر على راوترات D-Link DIR-600L Hardware Revision A1 التي وصلت إلى نهاية دورة حياتها (End-of-Life). الثغرة عبارة عن باب خلفي Telnet مدمج (Hardcoded Backdoor) يمنح المهاجم على الشبكة المحلية صلاحيات الجذر (root) الكاملة دون الحاجة إلى أي مصادقة حقيقية.
هذه الثغرة مصنفة ضمن فئة CWE-798: Use of Hard-coded Credentials، وهي من أخطر أنواع الثغرات لأنها لا يمكن إصلاحها بتغيير كلمة المرور من قبل المستخدم، بل تتطلب تحديثاً في البرنامج الثابت (Firmware) — وهو ما لن يحدث لأن الجهاز منتهي الدعم رسمياً.
◎تفاصيل الثغرة التقنية
عند إقلاع الجهاز، يقوم راوتر D-Link DIR-600L A1 بتشغيل خدمة Telnet تلقائياً عبر السكربت /bin/telnetd.sh. هذه الخدمة تستخدم بيانات اعتماد مدمجة ثابتة في البرنامج الثابت:
اسم المستخدم: Alphanetworks
كلمة المرور: wrgn35_dlwbr_dir600l
يتم قراءة كلمة المرور من الملف /etc/alpha_config/image_sign، ويستخدم الجهاز نسخة مخصصة من telnetd تقبل العلم -u user:password، بينما تعتمد أداة login المخصصة على دالة strcmp() للتحقق من بيانات الاعتماد — وهي طريقة بدائية وغير آمنة.
كيف يتم استغلال الثغرة؟
سيناريو الهجوم بسيط للغاية وخطير في الوقت نفسه:
يتصل المهاجم بالشبكة المحلية (سواء عبر Wi-Fi أو Ethernet).
يقوم بفحص الشبكة للعثور على أجهزة DIR-600L (منفذ Telnet 23 مفتوح).
ينفذ أمر telnet <router-ip> ويستخدم بيانات الاعتماد المدمجة.
يحصل فوراً على صدفة جذر (root shell) مع تحكم إداري كامل.
بمجرد الحصول على صلاحيات الجذر، يمكن للمهاجم تنفيذ أي من العمليات التالية:
اعتراض حركة المرور (Traffic Interception) وسرقة بيانات الاعتماد.
تعديل إعدادات DNS لإعادة توجيه المستخدمين إلى مواقع تصيّد.
تثبيت برمجيات خبيثة دائمة (Persistent Malware) مثل Mirai وMozi.
استخدام الراوتر كنقطة انطلاق لمهاجمة الأجهزة الأخرى على الشبكة الداخلية.
ضم الجهاز إلى شبكات Botnet لشن هجمات DDoS.
◎الأنظمة المتأثرة
الثغرة تؤثر تحديداً على:
الطراز: D-Link DIR-600L
الإصدار العتادي: Hardware Revision A1
الحالة: منتهي الدعم (EOL) — لن يصدر تصحيح أمني
تجدر الإشارة إلى أن راوترات DIR-600L كانت منتشرة على نطاق واسع في المملكة العربية السعودية ودول الخليج خلال الفترة 2012-2018 كحلول منزلية وللمكاتب الصغيرة (SOHO)، ولا تزال كثير من الشركات الصغيرة والمتوسطة تستخدمها.
◎تقييم الخطورة (CVSS 9.8)
حصلت الثغرة على درجة 9.8 من 10، وهو تصنيف حرج، للأسباب التالية:
سهولة الاستغلال (Attack Complexity: Low): لا يحتاج المهاجم إلى مهارات متقدمة.
لا تتطلب مصادقة (Privileges Required: None): بيانات الاعتماد عامة ومنشورة.
لا تتطلب تفاعل المستخدم (User Interaction: None).
تأثير كامل على السرية والسلامة والتوافر (CIA Impact: High).
◎السياق المحلي: لماذا يهم مديري الأنظمة في السعودية؟
هيئة الاتصالات والفضاء والتقنية (CITC) والهيئة الوطنية للأمن السيبراني (NCA) تصنّفان البنية التحتية الشبكية ضمن الأصول الحساسة التي يجب حمايتها. استخدام أجهزة منتهية الدعم يعد مخالفة مباشرة للضوابط الأساسية للأمن السيبراني (ECC-1:2018) التي تفرض:
الضابط 2-10: إدارة الأصول التقنية بما يضمن استبدال الأجهزة غير المدعومة.
الضابط 2-3-3: حماية الشبكات من التهديدات الخارجية والداخلية.
الضابط 2-5: إدارة الثغرات الأمنية والتحديثات.
في سياق شركات الاستضافة ومراكز البيانات السعودية (مثل تلك التابعة لـ STC وMobily وعلي بابا كلاود بالسعودية)، يجب التأكد من أن أجهزة الشبكة المستخدمة في البيئات الإدارية (Management Networks) ليست من الأجهزة منتهية الدعم.
◎خطوات عملية لمديري الأنظمة والاستضافة في السعودية
1. الإجراء الفوري: الاستبدال
لا يوجد حل برمجي لهذه الثغرة. التوصية الوحيدة هي استبدال الجهاز فوراً بموديل حديث مدعوم من D-Link أو علامة تجارية أخرى موثوقة (مثل MikroTik، Ubiquiti، أو Cisco للبيئات المؤسسية).
2. إجراءات تخفيف مؤقتة (حتى الاستبدال)
عزل الجهاز: ضعه خلف جدار ناري (Firewall) يمنع الوصول إلى منفذ Telnet (TCP 23).
تعطيل الوصول اللاسلكي للضيوف: تأكد من أن الشبكة اللاسلكية محمية بـ WPA2/WPA3 بكلمة مرور قوية.
تقسيم الشبكة (Network Segmentation): ضع الراوتر في VLAN منفصل بعيداً عن الأصول الحساسة.
مراقبة حركة المرور: فعّل تسجيل الأحداث وراقب أي محاولات اتصال عبر المنفذ 23.
3. جرد الأصول (Asset Inventory)
قم بإجراء مسح شامل للشبكة باستخدام أدوات مثل Nmap:
nmap -p 23 --open -sV 192.168.0.0/16
لتحديد جميع الأجهزة التي تعمل على Telnet، ثم افحصها يدوياً لتحديد الطراز.
4. التحقق من الاختراق (Compromise Assessment)
إذا كان لديك جهاز DIR-600L A1 يعمل حالياً، افترض أنه مخترق وقم بـ:
فحص سجلات DNS بحثاً عن استعلامات غير معتادة.
مراجعة أجهزة الشبكة المتصلة بحثاً عن أجهزة مجهولة.
التحقق من إعدادات DNS في الراوتر (يجب أن تكون خوادم موثوقة مثل 8.8.8.8 أو خوادم STC).
إعادة ضبط المصنع ثم الفصل الفوري قبل الاستبدال.
◎لماذا تنتشر ثغرات الأبواب الخلفية المدمجة؟
ثغرات CWE-798 شائعة في أجهزة IoT والراوترات المنزلية لأسباب عدة:
بيانات اعتماد مخصصة للدعم الفني (Backdoor for support) لم يتم إزالتها قبل الإصدار التجاري.
نقص في مراجعات الكود الأمنية قبل الإنتاج.
ضغط تكاليف التصنيع على حساب الأمن.
عدم وجود سياسة واضحة لدورة حياة المنتج الأمنية.
◎دور 4Jawaly في تعزيز الأمن السيبراني للعملاء
بصفتنا شركة سعودية مرخصة من هيئة الاتصالات والفضاء والتقنية (ترخيص 291-10-32) وحاصلة على شهادة ISO 27001 لأمن المعلومات، فإننا في 4Jawaly نولي أهمية قصوى لأمن البنية التحتية. خدمات الاستضافة لدينا تعمل على مراكز بيانات محلية داخل المملكة، مع أجهزة شبكية مؤسسية حديثة تخضع لتحديثات أمنية دورية.
نوصي جميع عملائنا من مديري تقنية المعلومات ومسؤولي الاستضافة بـ:
الاشتراك في تنبيهات الثغرات من المركز الوطني الإرشادي للأمن السيبراني (NCA).
إجراء تقييمات دورية للثغرات (Vulnerability Assessment) على البنية التحتية.
اعتماد سياسة صارمة لاستبدال الأجهزة منتهية الدعم.
استخدام حلول المصادقة متعددة العوامل (MFA) عبر خدمات OTP التي تقدمها 4Jawaly.
◎خلاصة وتوصيات نهائية
ثغرة CVE-2026-42375 تمثل تذكيراً صارخاً بخطورة الاعتماد على أجهزة شبكية منتهية الدعم. بيانات الاعتماد المدمجة (Alphanetworks / wrgn35_dlwbr_dir600l) أصبحت الآن عامة ومنشورة، وأي مهاجم يمكنه استغلالها خلال ثوانٍ للسيطرة الكاملة على الجهاز والشبكة المرتبطة به.
التوصية الذهبية: إذا كنت تمتلك راوتر D-Link DIR-600L A1، افصله من الكهرباء الآن واستبدله فوراً. لا تنتظر حتى يتم استغلاله — فالثغرة لن تُصلح أبداً.
الأسئلة الأكثر شيوعاً
ما هي ثغرة CVE-2026-42375 بشكل مبسط؟
هي ثغرة حرجة في راوترات D-Link DIR-600L A1 تحتوي على اسم مستخدم وكلمة مرور مدمجين في النظام (Alphanetworks / wrgn35_dlwbr_dir600l)، يستطيع أي شخص على الشبكة المحلية استخدامهما عبر خدمة Telnet للحصول على تحكم كامل بالجهاز.
هل يوجد تصحيح أمني (Patch) لهذه الثغرة؟
لا يوجد ولن يصدر أي تصحيح. الجهاز منتهي الدعم رسمياً من D-Link، والحل الوحيد هو استبدال الراوتر فوراً بجهاز مدعوم.
كيف أعرف إذا كان لدي راوتر D-Link DIR-600L A1؟
تحقق من الملصق الموجود أسفل الجهاز، ستجد رقم الطراز (DIR-600L) وإصدار العتاد (H/W Ver: A1). يمكنك أيضاً الدخول إلى لوحة الإدارة عبر المتصفح للتحقق.
هل يمكن للمهاجم استغلال الثغرة من الإنترنت أم فقط من الشبكة المحلية؟
الاستغلال المباشر يتطلب الوصول إلى الشبكة المحلية، لكن إذا كان منفذ Telnet (23) مفتوحاً على الإنترنت أو إذا تم اختراق أحد الأجهزة على الشبكة، يصبح الاستغلال ممكناً عن بُعد.
ما علاقة هذه الثغرة بضوابط الأمن السيبراني في السعودية؟
استخدام أجهزة منتهية الدعم يخالف الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة عن الهيئة الوطنية للأمن السيبراني، خاصة ضوابط إدارة الأصول التقنية وإدارة الثغرات.
