شعار منصة فورجوالي الرسمي - خدمات الرسائل والواتساب والاستضافة
تسجيل الدخول
شعار فورجوالي
شعار منصة فورجوالي الرسمي - خدمات الرسائل والواتساب والاستضافة
تسجيل الدخول
تسجيل الدخول

الوسم: EOL

ثغرة CVE-2026-42372: باب خلفي مدمج في موجهات D-Link DIR-605L عبر Telnet

Posted on by wpadmin

كشف باحثو الأمن السيبراني عن ثغرة أمنية خطيرة تحمل المعرف CVE-2026-42372 تؤثر على موجهات D-Link DIR-605L من المراجعة الأولى للأجهزة (Hardware Revision A1)، وهي ثغرة تتمثل في وجود باب خلفي مدمج (Hardcoded Backdoor) عبر بروتوكول Telnet ببيانات اعتماد ثابتة لا يمكن تغييرها. تصل درجة خطورة الثغرة إلى 8.8 من 10 وفقاً لمقياس CVSS، مما يضعها في فئة الثغرات عالية الخطورة، ويزيد من خطورتها أن الجهاز قد وصل إلى نهاية دورة حياته (End-of-Life – EOL) ولن يحصل على أي تحديثات أمنية من الشركة المصنعة.

تكتسب هذه الثغرة أهمية خاصة في السوق السعودي والخليجي حيث لا تزال موجهات D-Link DIR-605L مستخدمة في كثير من المنازل والمكاتب الصغيرة وحتى بعض البيئات التجارية، وقد يجهل المستخدمون أن أجهزتهم تحتوي على بوابة خلفية تمنح المهاجم صلاحيات الجذر (root) كاملة على الجهاز.

التفاصيل التقنية للثغرة

تنبع الثغرة من تصنيف الضعف CWE-798: استخدام بيانات اعتماد مضمّنة (Use of Hard-coded Credentials)، وهي من أخطر أنواع الثغرات التي يمكن أن توجد في الأجهزة المضمّنة (Embedded Devices). إليك الآلية التفصيلية:

  • تشغيل خدمة Telnet عند الإقلاع: يقوم الجهاز تلقائياً عند الإقلاع بتشغيل خدمة Telnet عبر السكربت /bin/telnetd.sh.
  • بيانات الاعتماد المدمجة: اسم المستخدم هو Alphanetworks، وكلمة المرور الثابتة هي wrgn35_dlwbr_dir605l ويتم قراءتها من الملف /etc/alpha_config/image_sign.
  • ثنائي Telnet مخصص: يستقبل البرنامج التنفيذي المخصص telnetd العلامة -u user:password لتمرير بيانات الاعتماد.
  • التحقق عبر strcmp(): يستخدم الثنائي المخصص login دالة strcmp() للتحقق من صحة بيانات الاعتماد، وهي طريقة بدائية وغير آمنة.
  • صلاحيات الجذر: عند نجاح المصادقة، يحصل المهاجم على Shell بصلاحيات root كاملة على الجهاز.

سيناريو الهجوم المحتمل

مسؤول تقنية سعودي يفحص موجه D-Link DIR-605L لاكتشاف ثغرة Telnet وباب خلفي

يستطيع المهاجم الذي يتواجد على نفس الشبكة المحلية للضحية (سواء عبر اتصال سلكي أو لاسلكي بالشبكة المنزلية أو شبكة المكتب) أن يقوم بالخطوات التالية بسهولة:

  1. اكتشاف الموجه D-Link DIR-605L على الشبكة عبر فحص المنافذ.
  2. الاتصال بمنفذ Telnet الافتراضي (23) على عنوان IP الخاص بالموجه.
  3. إدخال اسم المستخدم Alphanetworks وكلمة المرور wrgn35_dlwbr_dir605l.
  4. الحصول مباشرة على Shell بصلاحيات root.

بمجرد الحصول على الصلاحيات الكاملة، يمكن للمهاجم تنفيذ هجمات متعددة مثل: تحويل حركة المرور (DNS Hijacking)، اعتراض حركة البيانات، تثبيت برمجيات خبيثة دائمة على البرنامج الثابت (Firmware)، استخدام الجهاز كنقطة انطلاق لاختراق الشبكة الداخلية، أو ضمه إلى شبكات Botnet لشن هجمات DDoS واسعة.

الأنظمة والأجهزة المتأثرة

الثغرة تؤثر بشكل مؤكد على:

  • D-Link DIR-605L Hardware Revision A1 بجميع إصدارات البرنامج الثابت.
  • الجهاز رسمياً End-of-Life (EOL) ولن تصدر له شركة D-Link أي تصحيحات أمنية.
  • قد تكون مراجعات أخرى من DIR-605L أو نماذج مشابهة (مثل بعض موجهات Alpha Networks المعاد تسميتها) عرضة لنفس المشكلة، وينبغي فحصها.

تأثير الثغرة على المؤسسات والمستخدمين في المملكة العربية السعودية

رجل سعودي يفحص ثغرة باب خلفي في موجه D-Link DIR-605L عبر Telnet

تتعامل هيئة الاتصالات والفضاء والتقنية (CST، المعروفة سابقاً بـ CITC) في المملكة العربية السعودية بحزم مع الأجهزة التي تحتوي على ثغرات أمنية متاحة للعموم، وتشترط في إطار الضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA) الالتزام بأفضل الممارسات في تأمين البنية التحتية الشبكية. وجود مثل هذه الثغرة في موجه يستخدم لربط مكتب صغير أو فرع بمزود خدمة الإنترنت يعد خرقاً مباشراً لمتطلبات حماية البيانات.

كما أن الثغرة تتعارض مع متطلبات نظام حماية البيانات الشخصية (PDPL) في المملكة، إذ يعد كل جهاز شبكي يحتوي على باب خلفي معروف منفذاً محتملاً لتسرب البيانات الشخصية للعملاء والموظفين.

خطوات الاستجابة الفورية لمسؤولي الاستضافة وتقنية المعلومات

1. الجرد والاكتشاف

  • قم بمراجعة قائمة الأجهزة الشبكية في مؤسستك، ومكاتب الفروع، وأجهزة الموظفين العاملين عن بُعد.
  • افحص الشبكة باستخدام أدوات مثل nmap للبحث عن المنفذ 23 (Telnet) المفتوح: nmap -p 23 --open 192.168.0.0/24.
  • تحقق من واجهة إدارة الموجه لمعرفة الطراز والمراجعة (Hardware Revision).

2. الإجراءات المؤقتة (Mitigation)

  • عزل الجهاز: إذا لم يكن استبدال الجهاز ممكناً فوراً، اعزله في شبكة VLAN منفصلة بدون وصول للإنترنت أو للشبكة الداخلية الحساسة.
  • إيقاف خدمة Telnet: حاول تعطيل Telnet من خلال واجهة الإدارة، علماً أن هذا قد لا يكون فعالاً في حالة الباب الخلفي المدمج.
  • تقييد الوصول الفيزيائي واللاسلكي: فعّل WPA3 أو WPA2 بكلمة مرور قوية، وعطّل WPS، وراقب الأجهزة المتصلة بالشبكة.
  • قواعد جدار الحماية: امنع أي اتصالات صادرة من الموجه إلى عناوين IP غير معروفة عبر جدار الحماية المحيطي.

3. الحل الجذري: الاستبدال

نظراً لأن الجهاز EOL ولن يتلقى تصحيحات، فإن التوصية الرسمية هي الاستبدال الفوري بأجهزة حديثة تدعم تحديثات أمنية مستمرة، ويفضل أن تكون من شركات تلتزم بسياسات تحديث طويلة المدى وتدعم بروتوكولات الإدارة الآمنة مثل SSH وHTTPS فقط.

4. المراقبة والتحقيق

  • راجع سجلات الموجه وسجلات DNS بحثاً عن أي نشاط مريب خلال الأشهر الماضية.
  • تحقق من إعدادات DNS للتأكد من عدم تغييرها إلى خوادم خبيثة.
  • أبلغ المركز الوطني الإرشادي للأمن السيبراني (HAESN) في حال اكتشاف اختراق فعلي.

أفضل الممارسات لمزودي الاستضافة في المملكة

رسم يوضح ثغرة D-Link DIR-605L وباب خلفي عبر Telnet يمنح المهاجمين وصولا جذريا

على مزودي خدمات الاستضافة ومراكز البيانات السعودية الالتزام بما يلي:

  • سياسة EOL صارمة: لا تستخدم أي جهاز شبكي وصل إلى نهاية حياته في بيئة الإنتاج.
  • تعطيل Telnet بشكل عام: استبدال Telnet بـ SSH في جميع الأجهزة، ومنع المنفذ 23 على مستوى جدار الحماية المحيطي.
  • اختبار الاختراق الدوري: إجراء اختبارات اختراق سنوية على الأقل لاكتشاف الأبواب الخلفية والثغرات المعروفة.
  • التحقق من البرامج الثابتة: الاعتماد على أجهزة ذات Firmware موقع رقمياً مع آلية تحقق من السلامة.
  • التوثيق والامتثال: تسجيل كل جهاز ضمن قائمة الأصول مع تاريخ الشراء وتاريخ EOL المتوقع للالتزام بضوابط ECC.

كيف يمكن لـ 4jawaly مساعدة المؤسسات السعودية؟

تقدم فورجوالي (4jawaly)، الشركة السعودية المرخصة من هيئة الاتصالات والفضاء والتقنية برقم 291-10-32 والحاصلة على شهادة ISO 27001، خدمات الاستضافة الآمنة من مراكز بيانات داخل المملكة بما يضمن الامتثال لمتطلبات توطين البيانات. كما توفر خدمات الإشعارات الفورية عبر SMS وWhatsApp Business API لتنبيه فرق تقنية المعلومات فور اكتشاف أي نشاط مشبوه، إضافة إلى حلول التواصل الذكي عبر روبوتات المحادثة المعتمدة على الذكاء الاصطناعي للاستجابة السريعة لحوادث الأمن السيبراني.

الخلاصة

تمثل ثغرة CVE-2026-42372 تذكيراً صارخاً بأهمية إدارة دورة حياة الأصول التقنية، وأن الأجهزة EOL تعد قنبلة موقوتة في أي شبكة. وجود باب خلفي مدمج ببيانات اعتماد ثابتة في موجه D-Link DIR-605L يجعل من السهل على أي مهاجم محلي السيطرة الكاملة على الشبكة. التوصية واضحة وحاسمة: استبدل الجهاز فوراً، ولا تعتمد على حلول ترقيعية، والتزم بسياسة شراء أجهزة من موردين يقدمون التزاماً واضحاً بالتحديثات الأمنية. إن الاستثمار في بنية تحتية شبكية حديثة هو استثمار مباشر في حماية بيانات عملائك وسمعة مؤسستك في السوق السعودي التنافسي.

الأسئلة الأكثر شيوعاً

ما هو الجهاز المتأثر بثغرة CVE-2026-42372؟
الجهاز المتأثر هو موجه D-Link DIR-605L من المراجعة الأولى للأجهزة (Hardware Revision A1)، وهو منتهي دورة الحياة (EOL) ولن يحصل على تحديثات أمنية.
هل يمكن إصلاح الثغرة عبر تحديث البرنامج الثابت؟
لا، الجهاز وصل إلى نهاية دورة حياته ولن تصدر شركة D-Link أي تصحيحات. الحل الوحيد الموصى به هو استبدال الجهاز بموجه حديث يدعم التحديثات الأمنية.
كيف أعرف إذا كان موجهي معرضاً للثغرة؟
افحص ملصق الجهاز للتحقق من الموديل والمراجعة، وتأكد من إغلاق منفذ Telnet (23) باستخدام أداة nmap، وراجع سجلات الجهاز بحثاً عن نشاط مشبوه.
هل تتطلب الثغرة وصولاً من الإنترنت أم محلياً فقط؟
تتطلب الثغرة وصول المهاجم إلى الشبكة المحلية، لكن إذا كانت إدارة Telnet مفتوحة على الإنترنت (وهو شائع للأسف) فإن الخطر يصبح عالمياً.
ما علاقة هذه الثغرة بضوابط NCA وCST في المملكة؟
وجود جهاز ببوابة خلفية معروفة يعد خرقاً للضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن NCA، ويعرض المؤسسة لمخالفة نظام حماية البيانات الشخصية (PDPL).

مقالات ذات صلة

مشاهدة المزيد

ثغرة حرجة: باب خلفي مُضمّن في أجهزة D-Link DIR-456U عبر خدمة Telnet

Posted on by wpadmin

كشف باحثون في الأمن السيبراني عن ثغرة أمنية بالغة الخطورة تحمل المعرف CVE-2026-42376 وتُصنّف بدرجة 9.8 (حرجة) على مقياس CVSS v3.1، تؤثر على أجهزة التوجيه (Routers) من طراز D-Link DIR-456U الإصدار A1. الثغرة عبارة عن باب خلفي (Backdoor) مُضمّن في البرنامج الثابت (Firmware) للجهاز عبر خدمة Telnet، مع بيانات اعتماد (Credentials) ثابتة ومشفّرة مسبقاً داخل ملفات النظام، مما يمنح المهاجم صلاحيات الجذر (root) الكاملة دون الحاجة إلى أي تفاعل من المستخدم.

الأخطر من ذلك أن الجهاز وصل إلى نهاية دورة حياته (End-of-Life) ولن تصدر له الشركة المُصنِّعة أي تحديثات أمنية، مما يجعل جميع الأجهزة العاملة حالياً في الشبكات السعودية والخليجية معرضة بشكل دائم للاختراق ما لم يتم استبدالها أو عزلها فوراً.

تفاصيل الثغرة التقنية CVE-2026-42376

تكمن الثغرة في وجود خدمة Telnet daemon يتم تشغيلها تلقائياً عند إقلاع الجهاز من خلال سكريبت التهيئة /etc/init0.d/S80telnetd.sh. يقوم هذا السكريبت بتشغيل نسخة مُعدَّلة من خدمة telnetd تستخدم بيانات دخول ثابتة:

  • اسم المستخدم: Alphanetworks
  • كلمة المرور الثابتة: whdrv01_dlob_dir456U (يتم قراءتها من الملف /etc/config/image_sign)

تستخدم النسخة المُخصصة من ثنائي telnetd خياراً غير موثّق هو -u user:password لتمرير بيانات الاعتماد، بينما يعتمد ثنائي login المُعدّل على دالة strcmp() البسيطة للتحقق من صحة بيانات الدخول. هذه التصميمة تمثل انتهاكاً صريحاً لمبادئ الأمن السيبراني وتندرج تحت التصنيف CWE-798: استخدام بيانات اعتماد مشفّرة مسبقاً (Use of Hard-coded Credentials).

سيناريو الاستغلال

بمجرد أن يتمكن المهاجم من الوصول إلى الشبكة المحلية التي يتصل بها الجهاز (سواء عبر Wi-Fi أو اتصال سلكي)، يستطيع تنفيذ الأوامر التالية للحصول على صلاحيات جذر كاملة:

telnet <IP-of-DIR-456U> 23
login: Alphanetworks
password: whdrv01_dlob_dir456U

(root shell granted)بعد الحصول على صلاحيات الجذر، يمكن للمهاجم:اعتراض جميع حركة المرور (Traffic) المارة عبر الراوتر بما فيها كلمات المرور وبيانات الخدمات المصرفية.تعديل إعدادات DNS لإعادة توجيه المستخدمين إلى مواقع تصيّد احتيالي.زرع برمجيات خبيثة دائمة (Persistent Malware) داخل البرنامج الثابت.استخدام الجهاز كنقطة انطلاق (Pivot Point) لمهاجمة باقي أجهزة الشبكة الداخلية.ضم الجهاز إلى شبكات البوت نت (Botnets) مثل Mirai و Mozi.الأنظمة والأجهزة المتأثرة
مسؤول تقنية سعودي يعالج ثغرة D-Link DIR-456U مع باب خلفي Telnet في الراوتر
تؤثر الثغرة بشكل مؤكد على:
  • D-Link DIR-456U Hardware Revision A1 — جميع إصدارات البرنامج الثابت.
  • الأجهزة التي وصلت إلى حالة نهاية الدعم (EOL) ولن تتلقى أي تصحيحات.
من المرجح أيضاً أن تكون نماذج مشابهة من نفس العائلة (التي تعتمد على نفس البرنامج الثابت المُصنَّع من Alphanetworks) تحمل ثغرات مماثلة، ويُنصح بفحصها جميعاً.
السياق المحلي: لماذا يجب على مدراء الأنظمة في السعودية أخذ هذه الثغرة على محمل الجد؟
وفقاً لتقارير هيئة الاتصالات وتقنية المعلومات (CITC) والهيئة الوطنية للأمن السيبراني (NCA)، تُعدّ أجهزة التوجيه المنزلية والمكتبية من أكثر نقاط الضعف استهدافاً في المملكة العربية السعودية ودول الخليج. العديد من الشركات الصغيرة والمتوسطة، وكذلك المكاتب الفرعية للشركات الكبرى، تعتمد على أجهزة D-Link بسبب توفرها وانخفاض تكلفتها.
كما أن الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة عن NCA تفرض على الجهات الحكومية وشبه الحكومية استبدال الأجهزة التي وصلت لنهاية دعمها فوراً، وتعتبر وجود أجهزة غير مدعومة في الشبكة مخالفة صريحة للضابط 2-3-3 الخاص بإدارة التحديثات والتصحيحات.
مخاطر خاصة بقطاع الاستضافة والمزودين المحليين
إذا كنت تعمل لدى مزود استضافة سعودي أو مركز بيانات محلي، فإن استخدام أي جهاز DIR-456U في شبكات الإدارة خارج النطاق (Out-of-Band Management) أو كحل احتياطي يُعدّ كارثة أمنية قد تؤدي إلى:
  • انتهاك متطلبات ISO 27001 الخاصة بإدارة الأصول.
  • مخالفة سياسة حماية البيانات الشخصية (PDPL) السعودية في حال تسرّب بيانات العملاء.
  • فقدان ترخيص CITC في حالة ثبوت الإهمال في حماية البنية التحتية.
الإجراءات التصحيحية العاجلة لمدراء الأنظمة السعوديين
أولاً: الإجراءات الفورية (خلال 24 ساعة)
  1. جرد شامل: قم بفحص جميع أجهزة التوجيه في منشأتك وتحديد أي جهاز DIR-456U A1 باستخدام أدوات مثل nmap أو Shodan للشبكات الداخلية.
  2. عزل الأجهزة المصابة: إذا كان الاستبدال غير ممكن فوراً، اعزل الجهاز في VLAN منفصل بدون وصول إلى الإنترنت أو البيانات الحساسة.
  3. تعطيل Telnet من الشبكة: قم بحظر المنفذ TCP/23 على جميع الجدران النارية (Firewalls) لمنع أي وصول خارجي.
  4. مراقبة حركة المرور: فعّل تسجيل حركة المرور على المنفذ 23 واستخدم أنظمة IDS/IPS مثل Suricata للكشف عن محاولات الاستغلال.
ثانياً: الحل الجذري (خلال أسبوع)
  1. الاستبدال الكامل: الحل الوحيد الفعلي هو استبدال الجهاز بأحد البدائل المدعومة مثل MikroTik أو Cisco أو Ubiquiti أو D-Link من الطرازات الحديثة المدعومة.
  2. التحقق من سلامة الشبكة: افحص الأجهزة المتصلة بالراوتر المصاب للتأكد من عدم تعرضها للاختراق، خاصة فحص DNS settings على أجهزة المستخدمين.
  3. تغيير جميع كلمات المرور: إذا مرت بيانات حساسة عبر الجهاز المصاب، غيّر جميع كلمات المرور للخدمات الداخلية والسحابية.
ثالثاً: التوعية والتوثيق
  • وثّق الحادثة ضمن سجل إدارة الحوادث وفقاً لضوابط NCA.
  • أبلغ عن أي محاولة استغلال عبر المركز الوطني الإرشادي للأمن السيبراني.
  • درّب فريقك على أهمية التحقق من حالة EOL لكل جهاز شبكي قبل الشراء.
كيف يمكن لـ 4Jawaly مساعدتك؟
رسم توضيحي لثغرة D-Link DIR-456U مع باب خلفي Telnet وقفل أمني مكسور
في ظل هذه التهديدات المتصاعدة، توفر فورجوالي (4Jawaly) — الشركة السعودية الحاصلة على ترخيص CITC رقم 291-10-32 وشهادة ISO 27001 — حلول استضافة آمنة في مراكز بيانات محلية تتبع أحدث معايير الأمن السيبراني، بعيداً عن مخاطر الأجهزة منتهية الدعم. كما يمكنك استخدام خدمات SMS وWhatsApp Business API من 4Jawaly لإرسال تنبيهات أمنية فورية لفريق الاستجابة عند رصد أي نشاط مشبوه على شبكتك.
كشف الاختراق: مؤشرات التسلل (IoCs)
رسم يوضح اختراق راوتر D-Link DIR-456U عبر باب خلفي Telnet وكسر قفل الحماية
راقب المؤشرات التالية التي قد تدل على استغلال نشط للثغرة:
  • اتصالات Telnet واردة من عناوين IP غير معروفة على المنفذ 23.
  • وجود عمليات غير متوقعة بصلاحيات root في سجلات الجهاز.
  • تعديلات غير مصرح بها في ملف /etc/config/image_sign.
  • تغيير إعدادات DNS إلى خوادم غير مألوفة.
  • ارتفاع غير مبرر في استهلاك النطاق الترددي الصادر.
خاتمة: الدرس المستفاد
تؤكد ثغرة CVE-2026-42376 حقيقة مريرة: الأجهزة منتهية الدعم هي قنابل موقوتة في شبكتك. لا يوجد تصحيح، ولا بديل سوى الاستبدال الفوري. على جميع مدراء الأنظمة في المملكة العربية السعودية ودول الخليج اعتماد سياسة صارمة لإدارة دورة حياة الأجهزة (Asset Lifecycle Management) تتضمن متابعة تواريخ EOL ووضع ميزانيات استبدال سنوية. الأمن السيبراني ليس ترفاً بل ضرورة قانونية وتشغيلية في عصر التحول الرقمي الذي تقوده رؤية المملكة 2030.

الأسئلة الأكثر شيوعاً

هل يمكن تصحيح ثغرة CVE-2026-42376 عبر تحديث البرنامج الثابت؟
لا، جهاز D-Link DIR-456U A1 وصل إلى نهاية دورة حياته (EOL) ولن تصدر له الشركة المُصنِّعة أي تحديثات أمنية. الحل الوحيد هو استبدال الجهاز بطراز مدعوم.
هل الثغرة قابلة للاستغلال عن بُعد من خارج الشبكة؟
الاستغلال الأساسي يتطلب الوصول إلى الشبكة المحلية، لكن إذا كان منفذ Telnet (23) مفتوحاً على الإنترنت أو تم اختراق جهاز داخل الشبكة، يصبح الاستغلال عن بُعد ممكناً وخطيراً جداً.
كيف أكتشف وجود أجهزة DIR-456U في شبكتي؟
استخدم أدوات فحص الشبكة مثل nmap مع السكريبت (nmap -sV -p 23 <subnet>) أو راجع قوائم MAC address الخاصة بـ Alphanetworks/D-Link في جدول ARP الخاص بالسويتش.
ما علاقة هذه الثغرة بالامتثال لضوابط NCA في السعودية؟
وجود أجهزة منتهية الدعم يخالف الضابط 2-3-3 من ECC-1:2018 الخاص بإدارة التحديثات، وقد يعرّض المنشأة لمخالفات تنظيمية وعقوبات من الهيئة الوطنية للأمن السيبراني.
هل تكفي إعادة ضبط المصنع (Factory Reset) لإزالة الباب الخلفي؟
لا، الباب الخلفي مُضمّن في البرنامج الثابت نفسه وبيانات الاعتماد مُخزّنة في ملفات النظام الأساسية، لذا إعادة الضبط لن تزيلها. الاستبدال هو الحل الوحيد.

مقالات ذات صلة

مشاهدة المزيد

ثغرة حرجة: باب خلفي مزروع في أجهزة D-Link DIR-600L عبر بروتوكول Telnet

Posted on by wpadmin

ملخص تنفيذي للثغرة CVE-2026-42374

كشف باحثون في مجال الأمن السيبراني عن ثغرة حرجة تحمل المعرّف CVE-2026-42374 في أجهزة التوجيه (الراوتر) من نوع D-Link DIR-600L Hardware Revision B1، والتي تحتوي على باب خلفي (Backdoor) مزروع في الشركة المصنعة عبر بروتوكول Telnet. هذه الثغرة حصلت على درجة خطورة 9.8 من 10 (حرجة) وفقاً لمقياس CVSS، وتسمح لأي مهاجم متصل بالشبكة المحلية بالحصول على صلاحيات الجذر (root) الكاملة على الجهاز دون الحاجة إلى أي مصادقة مشروعة.

ما يزيد من خطورة هذه الثغرة هو أن الجهاز المتأثر قد وصل إلى نهاية دورة حياته (End-of-Life)، مما يعني أن الشركة المصنعة D-Link لن تصدر أي تحديثات أمنية لمعالجة هذه الثغرة، وبالتالي تبقى جميع الأجهزة العاملة حالياً عرضة دائمة للاستغلال.

تفاصيل الثغرة التقنية

تعود الثغرة إلى وجود بيانات اعتماد ثابتة ومبرمجة مسبقاً (Hardcoded Credentials) داخل البرنامج الثابت (Firmware) للجهاز، وهو ما يُصنّف ضمن فئة الضعف CWE-798: Use of Hard-coded Credentials. وتتلخص آلية عمل الباب الخلفي في النقاط التالية:

  • يقوم الجهاز عند الإقلاع بتشغيل خدمة Telnet تلقائياً عبر السكربت /bin/telnetd.sh.
  • اسم المستخدم المبرمج مسبقاً هو Alphanetworks.
  • كلمة المرور الثابتة هي wrgn61_dlwbr_dir600L ويتم قراءتها من الملف /etc/alpha_config/image_sign.
  • تستخدم النسخة المُعدّلة من telnetd خيار -u user:password لتمرير بيانات الاعتماد.
  • تتحقق دالة login المخصصة من بيانات الاعتماد باستخدام strcmp() فقط.
  • عند نجاح المصادقة، يحصل المهاجم على shell بصلاحيات الجذر (root) مباشرة.

الأنظمة والأجهزة المتأثرة

خبير أمن يفحص راوتر D-Link DIR-600L لاكتشاف ثغرة Telnet والباب الخلفي

تؤثر هذه الثغرة بشكل مباشر على:

  • D-Link DIR-600L – النسخة العتادية Hardware Revision B1.
  • جميع إصدارات البرنامج الثابت (Firmware) العاملة على هذه النسخة العتادية، لأن الباب الخلفي مزروع في مستوى النظام.
  • الحالة الرسمية: End-of-Life (EOL) – لن تصدر تحديثات أمنية.

تجدر الإشارة إلى أن أجهزة DIR-600L لا تزال شائعة الاستخدام في المنازل والمكاتب الصغيرة في المملكة العربية السعودية ودول الخليج، خاصة في البيئات التي لم تقم بتحديث بنيتها التحتية الشبكية منذ سنوات.

سيناريوهات الاستغلال المحتملة

يمكن للمهاجم استغلال هذه الثغرة في عدة سيناريوهات خطيرة:

1. الاستغلال من الشبكة المحلية (LAN)

يستطيع أي مهاجم متصل بالشبكة الداخلية — سواء عبر Wi-Fi أو عبر منفذ إيثرنت — الاتصال بخدمة Telnet على المنفذ 23 واستخدام بيانات الاعتماد المكشوفة للحصول على صلاحيات root.

2. الاستغلال عن بُعد عبر الإنترنت

في حال كان منفذ Telnet (23) مفتوحاً على واجهة WAN بسبب خطأ في الإعداد أو بسبب إعادة توجيه المنافذ (Port Forwarding)، يصبح الجهاز عرضة للاستغلال من أي مكان في العالم.

3. تحويل الجهاز إلى نقطة انطلاق لهجمات أوسع

بعد الحصول على shell بصلاحيات root، يمكن للمهاجم:

  • اعتراض حركة المرور الشبكية (Man-in-the-Middle).
  • سرقة بيانات الاعتماد وجلسات المستخدمين.
  • تحويل الجهاز إلى جزء من شبكة بوتات (Botnet) مثل Mirai.
  • شن هجمات حجب الخدمة الموزعة (DDoS) ضد أهداف أخرى.
  • التمحور (Pivoting) نحو أجهزة أخرى داخل الشبكة الداخلية.
  • زرع برامج ضارة مستمرة في البرنامج الثابت.

الخطورة على البيئة السعودية والخليجية

رسم يوضح ثغرة D-Link DIR-600L وباباً خلفياً عبر Telnet يهدد الشبكة

تكتسب هذه الثغرة أهمية خاصة في السياق السعودي والخليجي لعدة أسباب:

  • الانتشار الواسع للأجهزة المنزلية والمكتبية: لا تزال أجهزة D-Link منتشرة في المنازل والمكاتب الصغيرة والمتوسطة (SMBs) في المملكة.
  • التوجه الوطني نحو رؤية 2030: تعتمد خطط التحول الرقمي على بنية شبكية آمنة، وأي جهاز مخترق يُشكل تهديداً للمبادرات الحكومية والخاصة.
  • متطلبات هيئة الاتصالات والفضاء والتقنية (CST/CITC): تفرض الهيئة معايير صارمة على مشغلي الشبكات ومزودي خدمات الاستضافة للحفاظ على أمن الأجهزة المتصلة.
  • الضوابط الأساسية للأمن السيبراني (ECC) من الهيئة الوطنية للأمن السيبراني (NCA): تُلزم الجهات الحكومية والحيوية بإزالة الأجهزة التي وصلت إلى نهاية عمرها التشغيلي.

خطوات عملية لمسؤولي الاستضافة وتقنية المعلومات في السعودية

الإجراء الفوري: العزل والاستبدال

نظراً لعدم وجود تحديث أمني متاح، فإن الحل الوحيد الفعّال هو:

  1. جرد الأجهزة: قم بفحص شامل للبنية التحتية الشبكية للتعرف على أي أجهزة D-Link DIR-600L B1.
  2. الاستبدال الفوري: قم باستبدال الأجهزة المتأثرة بأجهزة حديثة مدعومة من الشركة المصنعة وتتلقى تحديثات أمنية منتظمة.
  3. العزل المؤقت: في حال تعذر الاستبدال الفوري، ضع الجهاز في شبكة معزولة (VLAN) خلف جدار حماية صارم.

تدابير تقنية للتخفيف المؤقت

  • تعطيل Telnet: قم بتعطيل خدمة Telnet من واجهة الإدارة إن أمكن (رغم أن الباب الخلفي قد يبقى نشطاً في مستوى النظام).
  • إغلاق المنفذ 23: تأكد من أن المنفذ 23 (Telnet) مُغلق تماماً على واجهة WAN.
  • تقسيم الشبكة (Network Segmentation): افصل الأجهزة غير الموثوقة في شبكة فرعية مستقلة.
  • مراقبة حركة المرور: استخدم أدوات IDS/IPS لرصد أي محاولات اتصال على المنفذ 23.
  • قائمة التحكم في الوصول (ACL): قيّد الوصول إلى واجهة الإدارة بعناوين IP محددة فقط.

تدابير إدارية وتنظيمية

  • وضع سياسة واضحة لإدارة دورة حياة الأجهزة الشبكية (Hardware Lifecycle Management).
  • منع شراء أو نشر أي جهاز وصل إلى نهاية عمره التشغيلي EOL.
  • توثيق جميع الأصول الشبكية وحالتها في سجل الأصول (Asset Register).
  • التنسيق مع المركز الوطني الإرشادي للأمن السيبراني (HCC) في حال رصد أي نشاط مشبوه.

كيفية الكشف عن الاستغلال

رجل سعودي يفحص ثغرة جهاز D-Link DIR-600L وباب خلفي Telnet يستغله هاكر

للتأكد من عدم استغلال الجهاز، يُنصح بمراجعة المؤشرات التالية:

  • فحص سجلات جدار الحماية بحثاً عن اتصالات صادرة غير معتادة من عنوان IP الخاص بالجهاز.
  • مراقبة استهلاك الباندويدث الشبكي — ارتفاع غير مبرر قد يدل على مشاركة الجهاز في هجمات DDoS.
  • البحث عن اتصالات قادمة على المنفذ 23 من عناوين خارجية.
  • استخدام أدوات مسح مثل nmap للتأكد من حالة منفذ Telnet: nmap -p 23 <ip>.
  • محاولة تسجيل الدخول ببيانات الاعتماد المكشوفة للتحقق من وجود الباب الخلفي (داخل بيئة اختبار مُصرّح بها فقط).

دور مزودي خدمات الاستضافة السعوديين

يتحمل مزودو الاستضافة ومراكز البيانات المحلية في المملكة — وبخاصة تلك المرخصة من هيئة الاتصالات والفضاء والتقنية — مسؤولية حماية عملائهم من خلال:

  • فحص دوري للأجهزة الشبكية الموجودة في مراكز البيانات.
  • توعية العملاء بمخاطر الأجهزة التي وصلت لنهاية عمرها.
  • تقديم خدمات استبدال ونقل البنية التحتية إلى أجهزة حديثة ومدعومة.
  • الالتزام بمتطلبات ISO 27001 في إدارة الأصول والتحكم بالمخاطر.

في 4Jawaly، وبوصفنا شركة سعودية مرخصة من هيئة الاتصالات والفضاء والتقنية (الترخيص رقم 291-10-32) وحاصلة على شهادة ISO 27001، فإننا نؤكد على أهمية اتباع أفضل الممارسات في إدارة دورة حياة الأصول التقنية، وخاصة الأجهزة الشبكية الحساسة.

الخلاصة والتوصيات النهائية

تمثل ثغرة CVE-2026-42374 تهديداً دائماً لا يمكن معالجته بالتحديثات البرمجية، والحل الوحيد الفعّال هو الاستبدال الكامل لأجهزة D-Link DIR-600L B1 بأجهزة حديثة مدعومة. إن الاستمرار في استخدام هذه الأجهزة يُعرّض البنية التحتية الشبكية لمخاطر جسيمة، قد تصل إلى اختراق كامل للشبكة وتسريب البيانات الحساسة.

ندعو جميع مسؤولي تقنية المعلومات في المملكة العربية السعودية إلى اتخاذ إجراءات فورية لجرد أجهزتهم الشبكية واستبدال الأجهزة التي وصلت إلى نهاية عمرها، امتثالاً لمتطلبات الهيئة الوطنية للأمن السيبراني، وحمايةً للبيانات الوطنية والشخصية.

الأسئلة الأكثر شيوعاً

ما هي ثغرة CVE-2026-42374 وما مدى خطورتها؟
هي ثغرة حرجة بدرجة 9.8 من 10 تتعلق بوجود باب خلفي مزروع في أجهزة D-Link DIR-600L B1 عبر بروتوكول Telnet، ببيانات اعتماد ثابتة (Alphanetworks / wrgn61_dlwbr_dir600L) تمنح المهاجم صلاحيات الجذر الكاملة.
هل يوجد تحديث أمني متاح لهذه الثغرة؟
لا، الجهاز وصل إلى نهاية دورة حياته (End-of-Life) ولن تصدر D-Link أي تحديثات أمنية. الحل الوحيد هو الاستبدال الكامل للجهاز بجهاز حديث مدعوم.
كيف أعرف إذا كانت شبكتي تحتوي على أجهزة متأثرة؟
قم بجرد الأجهزة الشبكية وابحث عن D-Link DIR-600L Hardware Revision B1، ثم افحص المنفذ 23 باستخدام nmap. أي جهاز مفتوح فيه Telnet يُعتبر عرضة للاستغلال.
ما موقف الهيئة الوطنية للأمن السيبراني من استخدام أجهزة EOL؟
تُلزم الضوابط الأساسية للأمن السيبراني (ECC) من NCA الجهات الحكومية والحيوية بإزالة الأجهزة منتهية الدعم فوراً، لأنها تُشكل خطراً دائماً على البيانات الوطنية.
هل يكفي تعطيل خدمة Telnet من واجهة الإدارة لحل المشكلة؟
لا يكفي بالضرورة، لأن الباب الخلفي مزروع على مستوى النظام عبر /bin/telnetd.sh وقد يُعاد تفعيله تلقائياً عند كل إقلاع. الحل الآمن الوحيد هو الاستبدال الكامل.

مقالات ذات صلة

مشاهدة المزيد