◎CVE-2026-42373: ثغرة أمنية حرجة في جهاز D-Link DIR-605L
تم اكتشاف ثغرة أمنية حرجة في جهاز D-Link DIR-605L، وهي ثغرة من نوع hardcoded telnet backdoor. هذه الثغرة تسمح للمهاجمين بالوصول إلى الجهاز عن طريق بروتوكول التلنت، والذي يمكنه منحهم صلاحيات إدارية كاملة على الجهاز.
تؤثر هذه الثغرة على جهاز D-Link DIR-605L الإصدار B2، والذي تم إيقاف دعمه من قبل الشركة المصنعة. هذا يعني أن الجهاز لن يحصل على أي تحديثات أمنية مستقبلية.
تستخدم الثغرة اسم مستخدم و كلمة مرور محددة مسبقا، وهي “Alphanetworks” و “wrgn76_dlwbr_dir605L” على التوالي. يمكن للمهاجمين استخدام هذه المعلومات للوصول إلى الجهاز عن طريق بروتوكول التلنت.
نظرًا لخطورة هذه الثغرة، يوصى بتحديث الجهاز إلى إصدار أحدث أو استبداله بجهاز أكثر أمانا. كما يوصى بتعطيل بروتوكول التلنت على الجهاز إذا لم يكن مستخدما.
الأنظمة المتأثرة
تؤثر هذه الثغرة على جهاز D-Link DIR-605L الإصدار B2.
الخطوات التى يجب اتخاذها
يجب على مسؤولي الأمان في المملكة العربية السعودية اتخاذ الخطوات التالية:
تحديث الجهاز إلى إصدار أحدث إذا كان ذلك ممكنا.
استبدال الجهاز بجهاز أكثر أمانا إذا كان ذلك ممكنا.
تعطيل بروتوكول التلنت على الجهاز إذا لم يكن مستخدما.
مراقبة الجهاز لاكتشاف أي نشاط مشبوه.
السياق السعودي
تعتبر هذه الثغرة خطرة بشكل خاص للمنظمات السعودية التي تستخدم جهاز D-Link DIR-605L. يجب على مسؤولي الأمان في هذه المنظمات اتخاذ الخطوات اللازمة لحماية أنظمتهم من هذه الثغرة.
كما يوصى بمراجعة إرشادات هيئة الاتصالات وتقنية المعلومات (CITC) حول الأمان السيبراني وتطبيقها في المنظمات السعودية.
مخاطر الاستغلال
تعتبر هذه الثغرة خطرة بشكل خاص لأنها تسمح للمهاجمين بالوصول إلى الجهاز عن طريق بروتوكول التلنت. يمكن للمهاجمين استخدام هذه الثغرة لسرقة البيانات أو تنفيذ هجمات أخرى على الشبكة.
يجب على مسؤولي الأمان في المملكة العربية السعودية اتخاذ الخطوات اللازمة لحماية أنظمتهم من هذه الثغرة ومراقبة الجهاز لاكتشاف أي نشاط مشبوه.
الأسئلة الأكثر شيوعاً
ما هي الثغرة الأمنية التي تم اكتشافها في جهاز D-Link DIR-605L؟
الثغرة الأمنية هي hardcoded telnet backdoor.
كيف يمكن للمهاجمين استخدام هذه الثغرة؟
المهاجمون يمكنهم استخدام هذه الثغرة للوصول إلى الجهاز عن طريق بروتوكول التلنت.
ما هي الخطوات التي يجب اتخاذها لحماية الجهاز من هذه الثغرة؟
يجب تحديث الجهاز إلى إصدار أحدث أو استبداله بجهاز أكثر أمانا، وتعطيل بروتوكول التلنت على الجهاز إذا لم يكن مستخدما.
◎مقدمة: تهديد خطير يمس أجهزة التوجيه المنزلية والمكتبية في المملكة
كشف باحثو الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرّف CVE-2026-42373 بدرجة CVSS تصل إلى 9.8 (حرجة)، تصيب أجهزة التوجيه من نوع D-Link DIR-605L Hardware Revision B2. تكمن خطورة هذه الثغرة في وجود باب خلفي (Backdoor) مضمّن داخل البرنامج الثابت (Firmware) للجهاز، يسمح لأي مهاجم متصل بالشبكة المحلية بالحصول على صلاحيات الجذر (Root) الكاملة دون الحاجة إلى اختراق أو تخمين كلمات المرور الخاصة بالمستخدم.
الأخطر من ذلك أن هذا الطراز قد وصل إلى مرحلة نهاية الدعم الفني (End-of-Life – EOL)، ما يعني أن الشركة المصنّعة لن تُصدر أي تحديثات أمنية لمعالجة هذه الثغرة، وهو ما يجعل ملايين الأجهزة المنتشرة حول العالم – بما فيها المملكة العربية السعودية ودول الخليج – أهدافاً سهلة للمهاجمين.
◎تفاصيل الثغرة التقنية
أوضح التحليل الفني أن البرنامج الثابت لجهاز D-Link DIR-605L B2 يحتوي على سكربت تمهيد (Boot Script) باسم /bin/telnetd.sh يقوم تلقائياً عند إقلاع الجهاز بتشغيل خدمة telnet daemon بصلاحيات مرتفعة. وتقوم هذه الخدمة بقراءة بيانات الاعتماد من ملف ثابت داخل نظام الملفات:
اسم المستخدم:Alphanetworks
كلمة المرور الثابتة:wrgn76_dlwbr_dir605L
مسار ملف بيانات الاعتماد:/etc/alpha_config/image_sign
يستخدم الجهاز نسخة مخصّصة من ثنائي telnetd يقبل معامل -u user:password، بينما تستخدم النسخة المخصّصة من ثنائي login دالة strcmp() للتحقق من صحة بيانات الدخول. وبمجرد نجاح المصادقة، يحصل المهاجم على غلاف جذر (Root Shell) بصلاحيات إدارية كاملة على الجهاز.
◎تصنيف الثغرة ضمن معايير CWE
تندرج هذه الثغرة تحت التصنيف CWE-798: Use of Hard-coded Credentials (استخدام بيانات اعتماد مضمّنة بشكل ثابت)، وهو من أخطر التصنيفات الأمنية لأنه:
لا يمكن للمستخدم النهائي تغيير هذه البيانات أو إزالتها.
يمكن استخراجها بسهولة من صورة البرنامج الثابت باستخدام أدوات الهندسة العكسية.
تكون هذه البيانات عادةً متطابقة على جميع الأجهزة من نفس الطراز، ما يعني أن اكتشاف كلمة مرور واحدة يكشف ملايين الأجهزة.
◎الأنظمة المتأثرة
تشمل الأجهزة المعرّضة للخطر ما يلي:
D-Link DIR-605L Hardware Revision B2 – جميع إصدارات البرنامج الثابت.
الجهاز وصل إلى مرحلة نهاية الدعم (EOL) ولن يتلقى أي تحديثات أمنية مستقبلية من الشركة المصنّعة.
تجدر الإشارة إلى أن هذا الطراز كان من الأكثر انتشاراً في الأسواق العربية خلال السنوات الماضية، وقد يكون لا يزال مستخدماً في المنازل، المكاتب الصغيرة والمتوسطة، وبعض الفروع البعيدة للشركات والمؤسسات في المملكة ودول الخليج.
◎سيناريو الاستغلال وخطورته
يستطيع المهاجم استغلال هذه الثغرة عبر الخطوات التالية:
الاتصال بالشبكة المحلية التي يتواجد فيها الجهاز (سواء عبر Wi-Fi أو شبكة سلكية).
إجراء مسح للشبكة لتحديد عنوان IP الخاص بالراوتر والمنافذ المفتوحة (خاصةً منفذ 23 – Telnet).
الاتصال بخدمة Telnet باستخدام بيانات الاعتماد المضمّنة.
الحصول فوراً على صلاحيات Root كاملة.
الآثار المحتملة لنجاح الاستغلال تشمل:
اعتراض وتعديل حركة مرور الشبكة بالكامل (Man-in-the-Middle).
سرقة بيانات الاعتماد الخاصة بالبنوك، البريد الإلكتروني، وحسابات العمل.
تحويل الراوتر إلى عقدة ضمن شبكة Botnet لتنفيذ هجمات DDoS.
استخدام الجهاز كنقطة انطلاق لاختراق أجهزة أخرى داخل الشبكة الداخلية.
تعديل إعدادات DNS لتوجيه المستخدمين إلى مواقع تصيّد احتيالي.
زرع برمجيات خبيثة دائمة في البرنامج الثابت يصعب اكتشافها وإزالتها.
◎السياق المحلي: لماذا يجب على مسؤولي الأنظمة في المملكة الاهتمام؟
تولي هيئة الاتصالات والفضاء والتقنية (CST) – المعروفة سابقاً بهيئة الاتصالات وتقنية المعلومات (CITC) – اهتماماً كبيراً بأمن الأجهزة المتصلة بالشبكات في المملكة، في ظل رؤية 2030 والتحول الرقمي الشامل. كما تُصدر الهيئة الوطنية للأمن السيبراني (NCA) باستمرار توجيهات وضوابط تلزم الجهات الحكومية والقطاعات الحيوية بتطبيق أفضل الممارسات الأمنية.
إن استخدام أجهزة منتهية الدعم الفني مثل D-Link DIR-605L B2 يُعدّ مخالفة صريحة لعدة ضوابط من الضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن NCA، خاصةً ما يتعلق بـ:
ضابط إدارة الأصول التقنية (ECC-2-1).
ضابط إدارة الثغرات (ECC-2-10).
ضابط حماية الشبكات (ECC-2-5).
كما أن شركات الاستضافة السعودية والمزودين المحليين لخدمات الإنترنت يجب أن يحذّروا عملاءهم من استخدام هذه الأجهزة، خاصةً في البيئات التي تتعامل مع بيانات حساسة أو مدفوعات إلكترونية.
◎خطوات عملية لمسؤولي الأنظمة في المملكة ودول الخليج
1. الاستبدال الفوري للأجهزة المتأثرة
الحل الوحيد الجذري لهذه الثغرة هو استبدال الجهاز بالكامل بطراز حديث يتلقى تحديثات أمنية منتظمة. يُنصح باختيار أجهزة من شركات موثوقة تدعم معايير الأمان الحديثة مثل WPA3 وتلتزم بتحديثات البرنامج الثابت لسنوات عديدة.
عزل الجهاز في شبكة VLAN منفصلة بعيداً عن الأنظمة الحساسة.
تعطيل منفذ Telnet (23) عبر جدار الحماية الخارجي إن أمكن.
تفعيل فلترة عناوين MAC للحدّ من الأجهزة التي يمكنها الاتصال بالشبكة.
مراقبة سجلات حركة المرور الصادرة والواردة للكشف عن أي نشاط غير طبيعي.
تعطيل الإدارة عن بُعد عبر الواجهة الخارجية (WAN).
3. مسح الشبكة لاكتشاف الأجهزة المتأثرة
يمكن استخدام أدوات مثل nmap لمسح الشبكة الداخلية والبحث عن منفذ Telnet المفتوح:
nmap -p 23 --open 192.168.1.0/24
كما يمكن استخدام أدوات إدارة الأصول مثل Lansweeper أو Rumble لتحديد جميع الأجهزة من نوع DIR-605L في البيئة المؤسسية.
4. تطبيق مبدأ الثقة الصفرية (Zero Trust)
يُوصى بعدم الوثوق في أي جهاز متصل بالشبكة الداخلية، وتطبيق سياسات تقسيم دقيقة للشبكة (Microsegmentation)، بحيث لا يستطيع جهاز مخترق الوصول إلى موارد حساسة.
5. تعزيز المراقبة الأمنية
يجب تفعيل حلول رصد الشبكة مثل IDS/IPS وربطها بنظام SIEM مركزي، والبحث تحديداً عن:
محاولات اتصال Telnet داخل الشبكة.
استخدام اسم المستخدم Alphanetworks.
تغييرات غير معتادة في إعدادات DNS لأجهزة المستخدمين.
◎دور 4jawaly في دعم الأمن السيبراني للمؤسسات السعودية
في ظل تزايد التهديدات السيبرانية، تحرص شركة فورجوالي (4jawaly) – المرخّصة من هيئة الاتصالات والفضاء والتقنية (CST) برقم 291-10-32 والحاصلة على شهادة ISO 27001 – على تقديم خدمات اتصالات وحلول استضافة تلتزم بأعلى معايير الأمان. تشمل خدماتنا:
خدمات الرسائل النصية القصيرة (SMS) الآمنة لتنبيه المستخدمين عن أي نشاط مشبوه.
واجهات WhatsApp Business API للتواصل الآمن مع العملاء.
حلول استضافة ويب محلية داخل مراكز بيانات سعودية موثوقة.
روبوتات محادثة ذكية (AI Chatbots) لتعزيز خدمة العملاء.
◎التوصيات النهائية
نظراً لخطورة ثغرة CVE-2026-42373 ودرجة CVSS العالية (9.8)، ولأن الجهاز المتأثر وصل إلى نهاية دعمه الفني، فإن التوصية القاطعة هي:
التوقف فوراً عن استخدام جهاز D-Link DIR-605L B2 في أي بيئة إنتاجية أو حساسة.
استبداله بطراز حديث مدعوم رسمياً.
مراجعة جميع أجهزة الشبكة ضمن دورة حياة منتظمة للتأكد من عدم استخدام أجهزة منتهية الدعم.
تطبيق سياسة واضحة لإدارة دورة حياة الأصول التقنية ضمن منظومة الحوكمة الأمنية.
◎الخاتمة
تُمثّل ثغرة CVE-2026-42373 مثالاً صارخاً على مخاطر الأبواب الخلفية المضمّنة في أجهزة الشبكات، وعلى خطورة الاستمرار في استخدام أجهزة منتهية الدعم. نحثّ جميع مسؤولي تقنية المعلومات ومديري الاستضافة في المملكة العربية السعودية ودول الخليج على التحرك السريع لتقييم بيئاتهم واستبدال الأجهزة المتأثرة قبل أن تُستغل هذه الثغرة على نطاق واسع.
الأسئلة الأكثر شيوعاً
ما مدى خطورة ثغرة CVE-2026-42373؟
الثغرة مصنّفة حرجة بدرجة CVSS 9.8 من 10، وتسمح لأي مهاجم على الشبكة المحلية بالحصول على صلاحيات Root كاملة على الجهاز دون الحاجة إلى أي مصادقة فعلية.
هل ستُصدر D-Link تحديثاً لإصلاح الثغرة؟
لا. جهاز DIR-605L Hardware Revision B2 وصل إلى نهاية الدعم الفني (EOL)، ولن تُصدر الشركة أي تحديثات أمنية. الحل الوحيد هو استبدال الجهاز.
كيف يمكنني معرفة ما إذا كانت شبكتي تستخدم هذا الجهاز؟
يمكن استخدام أدوات مسح الشبكة مثل nmap للبحث عن منفذ Telnet المفتوح (23)، أو مراجعة ملصق الجهاز للتأكد من الطراز والإصدار (Hardware Revision B2).
هل يكفي تغيير كلمة مرور الراوتر لحل المشكلة؟
لا. كلمة المرور مضمّنة بشكل ثابت في البرنامج الثابت ولا يمكن تغييرها من واجهة المستخدم. الحل الوحيد هو استبدال الجهاز.
ما علاقة هذه الثغرة بضوابط الهيئة الوطنية للأمن السيبراني؟
استخدام أجهزة منتهية الدعم يخالف ضوابط ECC المتعلقة بإدارة الأصول التقنية وإدارة الثغرات وحماية الشبكات، وقد يعرّض المؤسسة للمساءلة التنظيمية.
