تتعرض إضافة Sneeit Framework الشهيرة لمنصة ووردبريس لثغرة أمنية حرجة، يتم استغلالها حاليًا بنشاط في عدد من الهجمات السيبرانية، وفقًا لبيانات حديثة صادرة عن شركة Wordfence المتخصصة في أمن ووردبريس.
تتيح هذه الثغرة، المعروفة بالرمز CVE-2025-6389، للمهاجمين تنفيذ تعليمات برمجية عن بعد على خادم الموقع المصاب. تبلغ درجة خطورتها 9.8 على مقياس CVSS، وتؤثر على جميع الإصدارات السابقة للإصدار 8.3 من الإضافة. وقد تم إصدار تحديث لسد الثغرة في الإصدار 8.4 بتاريخ 5 أغسطس 2025.
استغلال ثغرة Sneeit Framework الأمنية
أوضحت Wordfence أن المشكلة تكمن في دالة “sneeit_articles_pagination_callback()” التي تقبل مدخلات المستخدم ثم تمررها عبر دالة “call_user_func()”. هذا يسمح للمهاجمين غير المصادق عليهم بتنفيذ تعليمات برمجية على الخادم، مما يمكن استغلاله لزرع أبواب خلفية أو إنشاء حسابات إدارية جديدة.
بمعنى آخر، يمكن للمهاجم استخدام هذه الثغرة لاستدعاء أي دالة PHP، مثل “wp_insert_user()”، لإنشاء حساب مسؤول مزيف. يمكن للمهاجم بعد ذلك استغلال هذا الحساب للسيطرة الكاملة على الموقع، وزرع برمجيات خبيثة، وإعادة توجيه الزوار إلى مواقع احتيالية أو نشر برمجيات ضارة.
بدأت الهجمات التي تستغل هذه الثغرة بتاريخ 24 نوفمبر 2025، بالتزامن مع الكشف العلني عنها. وقامت Wordfence بصد أكثر من 131 ألف محاولة هجوم تستهدف هذه الثغرة، سجلت منها 15,381 محاولة في الأربع والعشرين ساعة الأخيرة فقط.
تفاصيل الهجمات وتنفيذ التعليمات البرمجية الضارة
تتضمن بعض محاولات الهجوم إرسال طلبات HTTP مصممة خصيصًا إلى نقطة النهاية “/wp-admin/admin-ajax.php” لإنشاء حساب مسؤول خبيث، مثل “arudikadis”، وتحميل ملف PHP ضار باسم “tijtewmg.php”، والذي يمنح على الأرجح وصولاً عبر باب خلفي.
وقد تم رصد هذه الهجمات من عناوين IP التالية: 185.125.50.59، 182.8.226.51، 89.187.175.80، 194.104.147.192، 196.251.100.39، 114.10.116.226، و 116.234.108.143.
كما أشارت Wordfence إلى ملاحظة ملفات PHP خبيثة أخرى قادرة على مسح المجلدات، قراءة، تعديل، أو حذف الملفات وصلاحياتها، بالإضافة إلى استخراج ملفات ZIP. تحمل هذه الملفات أسماء مثل “xL.php”، “Canonical.php”، “.a.php”، و “simple.php”.
ووفقًا لـ Wordfence، يتم تحميل ملف “xL.php” بواسطة ملف PHP آخر اسمه “up_sf.php”، المصمم لاستغلال الثغرة. كما يقوم هذا الملف الأخير بتحميل ملف “.htaccess” من خادم خارجي (“racoonlab.top”) إلى المضيف المخترق.
يضمن هذا الملف “.htaccess” منح الوصول إلى الملفات ذات امتدادات معينة على خوادم Apache، وهو أمر مفيد في الحالات التي تمنع فيها ملفات “.htaccess” أخرى الوصول إلى البرمجيات النصية، مثل المجلدات المرفوعة.
ثغرة ICTBroadcast واستغلالها في هجمات DDoS
يأتي الكشف عن هذه الثغرة الأمنية لـ Sneeit Framework في وقت رصدت فيه شركة VulnCheck هجمات جديدة تستغل ثغرة حرجة في ICTBroadcast (CVE-2025-2611، درجة الخطورة 9.3). تستهدف هذه الهجمات أنظمة العسل (honeypot systems) الخاصة بالشركة لتحميل برمجية نصية خبيثة تقوم بتنزيل نسخ متعددة من ملف تنفيذي يسمى “frost”، مصممة لمعماريات مختلفة.
يتم تنفيذ كل نسخة من هذه الملفات، تليها عملية حذف للحمولات الخبيثة والبرمجية النصية نفسها لإخفاء آثار النشاط. الهدف النهائي هو شن هجمات حجب الخدمة الموزعة (DDoS) ضد أهداف محددة.
يشير جاكوب بينز من VulnCheck إلى أن الملف التنفيذي “frost” يجمع بين أدوات DDoS ومنطق انتشار يعتمد على استغلال 14 ثغرة لـ 15 رمز CVE. الأهم هو طريقة انتشارها، حيث لا يقوم المهاجم بنشر الثغرات بشكل عشوائي، بل يتحقق “frost” من الهدف أولاً، ولا يستمر في الاستغلال إلا عند رؤية مؤشرات محددة يتوقعها.
على سبيل المثال، يستغل الملف التنفيذي الثغرة CVE-2025-1610 فقط بعد تلقي استجابة HTTP تحتوي على “Set-Cookie: user=(null)”، تليها استجابة متابعة لطلب ثانٍ تحتوي على “Set-Cookie: user=admin”. إذا لم تكن هذه العلامات موجودة، يبقى الملف خاملاً ولا يفعل شيئًا. وتُشن الهجمات من عنوان IP 87.121.84.52.
على الرغم من أن الثغرات المحددة قد تم استغلالها من قبل شبكات بوت نت DDoS مختلفة، إلا أن الأدلة تشير إلى أن الهجمات الأخيرة هي عملية صغيرة ومستهدفة، نظرًا لوجود أقل من 10,000 نظام معرض للخطر على الإنترنت يمكن استهدافها.
ويضيف بينز أن هذا يحد من حجم شبكة البوت نت التي يمكن بناؤها بناءً على هذه الثغرات، مما يجعل مشغل هذه الهجمات لاعبًا صغيرًا نسبيًا. ومن الجدير بالذكر أن استغلال ICTBroadcast الذي وفر هذه العينة لا يظهر في الملف التنفيذي، مما يشير إلى أن المشغل لديه قدرات إضافية غير مرئية.