كشفت أمازون عن استغلال مجموعة تهديد متقدمة لثغرات أمنية حرجة في منتجات شبكات سيسكو وسيتريكس قبل الإعلان عنها وإصلاحها رسمياً. يأتي هذا الاكتشاف ليؤكد على التحديات المتزايدة في مجال الأمن السيبراني، خاصة فيما يتعلق بالهجمات التي تستهدف استغلال الثغرات المعروفة باسم “zeroday”.
ووفقاً لفريق استخبارات التهديدات في أمازون، تم رصد استغلال فعال لثغرتين أمنيتين: CVE-2025-5777 في منتجات سيتريكس، و CVE-2025-20337 في منتجات سيسكو. هذه الثغرات سمحت للمهاجمين بالوصول غير المصرح به إلى الأنظمة المستهدفة.
استغلال ثغرات zeroday: تهديد متزايد
أشارت أمازون إلى أن فريقها اكتشف النشاط الخبيث من خلال خدمة MadPot، وهي نظام مراقبة مصمم لاكتشاف محاولات الاختراق. وأكد سي جي موسيس، الرئيس التنفيذي للأمن المتكامل في أمازون، أن التحقيقات أظهرت أن جهة تهديد ذات موارد عالية تقف وراء هذه الهجمات، مع “ثقة عالية بأنها نفس الجهة التي تم رصدها تستغل كلا الثغرتين”.
هذا الاستغلال المسبق، الذي حدث قبل الكشف الرسمي عن الثغرات وإصدار التحديثات الأمنية، يسلط الضوء على قدرة المجموعات المهاجمة على اكتشاف نقاط الضعف واستغلالها بسرعة فائقة. وتؤكد أمازون أن هذا الأمر يعكس اتجاهاً متزايداً لدى الجماعات التهديدية للتركيز على البنية التحتية الحيوية مثل إدارة الهوية وحلول حافة الشبكة.
البواعث والأهداف المحتملة
على الرغم من أن هوية المجموعة المهاجمة لا تزال مجهولة، إلا أن موسيس رجح أن الهدف الأساسي كان “الوصول المستمر للنظام المستهدف لأغراض التجسس”. وهذا يشير إلى استراتيجية طويلة الأمد تهدف إلى جمع المعلومات الحساسة أو مراقبة الأنشطة داخل المؤسسات المستغلة.
استخدمت المجموعة برمجيات خبيثة مخصصة، تحتوي على أبواب خلفية (backdoors)، وصممت خصيصاً لبيئات Cisco ISE. أظهرت هذه الأدوات تقنيات متقدمة لتجنب الكشف، مما يدل على فهم عميق للمهاجمين لتطبيقات جافا المعقدة، وعمليات Tomcat الداخلية، والتصميم المعماري المحدد لمنتجات سيسكو.
التوقيت والإفصاح عن الثغرات
أعلنت سيسكو عن ثغرة CVE-2025-20337 في 25 يونيو، لكن أمازون رصدت استغلالها النشط في شهر مايو. وبدأ الاكتشاف الفعلي لهذه الاستغلالات من قبل باحثي أمازون في أوائل يوليو، مع تتبع الهجمات إلى شهري مايو ويونيو.
قامت أمازون بإبلاغ سيسكو فور اكتشافها للثغرة، مما مكن الشركة المصنعة من تنبيه عملائها خلال ساعات. ولم تكشف أمازون عن عدد المؤسسات المتضررة من استغلال ثغرة سيسكو.
في المقابل، أعلنت سيتريكس عن ثغرة CVE-2025-5777، المعروفة أيضاً باسم CitrixBleed 2، في 17 يونيو. وتمت إضافة هذه الثغرة إلى قائمة الوكالة الأمريكية للأمن السيبراني والبنية التحتية (CISA) للثغرات المستغلة المعروفة في 10 يوليو.
وبحلول منتصف يوليو، رصد باحثون أكثر من 11.5 مليون محاولة هجوم استهدفت آلاف المواقع منذ الكشف عن الثغرة. ويشير هذا العدد إلى الانتشار الواسع للثغرة وقابلية استغلالها.
القدرات المتقدمة للمهاجمين
يشير استخدام هذه المجموعة المهاجمة لعدة ثغرات “zeroday” إلى امتلاكها قدرات بحثية متقدمة في مجال اكتشاف الثغرات، أو وصولها إلى معلومات غير معلنة حولها. وهذا يضع تحدياً كبيراً أمام الشركات الأمنية ومصنعي البرمجيات لكشف هذه التهديدات والتصدي لها.
رفضت أمازون توضيح سبب تأخرها في مشاركة تفاصيل الاستغلال النشط لهذه الثغرات، مشيرة إلى عدم توفر معلومات إضافية حول هجمات أحدث مرتبطة بها. ومع ذلك، فإن الكشف المبكر عن مثل هذه التهديدات والتعاون مع الشركات المصنعة يظل أمراً بالغ الأهمية لحماية البنية التحتية الرقمية.