بدأت مجموعات تهديد سيبراني في استغلال ثغرة أمنية حرجة تم اكتشافها مؤخراً في منتجات BeyondTrust Remote Support (RS) و Privileged Remote Access (PRA)، وذلك وفقًا لتقرير صادر عن شركة WatchTowr للأمن السيبراني. يأتي هذا الاستغلال السريع للثغرات الأمنية كتحذير للمؤسسات حول العالم لأهمية سرعة الاستجابة لتحديث أنظمتها.
وأفاد التقرير الميداني بأن عملية الاستغلال نشطت فور الكشف عن الثغرة، حيث لوحظت عمليات استغلال فعلية عبر شبكة المستشعرات العالمية للشركة. تستخدم الجهات الخبيثة آلية محددة لاستخلاص معلومات حساسة قبل إنشاء قناة اتصال آمنة، مما يفتح الباب أمام اختراقات غير مصرح بها.
استغلال ثغرة BeyondTrust الأمنية
الثغرة المحددة، والتي تحمل المعرف CVE-2026-1731، تتمتع بدرجة خطورة عالية (CVSS score: 9.9). تسمح هذه الثغرة للمهاجم غير المصادق عليه بتنفيذ أوامر عن بعد على الأنظمة المتضررة، وذلك عبر إرسال طلبات معدة خصيصًا.
وأشارت BeyondTrust في إعلانها الرسمي إلى أن نجاح استغلال هذه الثغرة قد يؤدي إلى تمكين مهاجم عن بعد غير مصادق عليه من تنفيذ أوامر نظام التشغيل ضمن سياق مستخدم الموقع. هذا من شأنه أن يفضي إلى الوصول غير المصرح به، وسرقة البيانات، وتعطيل الخدمات الأساسية.
إصدار التحديثات التصحيحية
لمواجهة هذه المخاطر، أصدرت BeyondTrust تحديثات لمنتجاتها المتأثرة:
- بالنسبة لـ Remote Support، تم إصدار التصحيح BT26-02-RS، والذي يتوفر في الإصدار 25.3.2 وما بعده.
- ولمنتج Privileged Remote Access، تم إصدار التصحيح BT26-02-PRA، المتوفر في الإصدار 25.1.1 وما بعده.
ويوضح الاستغلال السريع لثغرة CVE-2026-1731 كيف يمكن لمجموعات التهديد تسخير الثغرات المكتشفة حديثًا بسرعة، مما يقلل بشكل كبير من نافذة الفرص المتاحة للمدافعين لتصحيح الأنظمة الحيوية.
إضافة ثغرات إلى قائمة CISA للثغرات المستغلة
يأتي هذا التطور تزامنًا مع قيام الوكالة الأمريكية للأمن السيبراني وأمن البنية التحتية (CISA) بإضافة أربع ثغرات أمنية جديدة إلى قائمة “الثغرات المعروفة والمستغلة” (KEV)، وذلك استنادًا إلى أدلة تشير إلى استغلالها الفعلي في هجمات.
الثغرات التي تم إدراجها في قائمة KEV
- CVE-2026-20700 (CVSS score: 7.8): ثغرة تتعلق بالقيود غير السليمة على العمليات ضمن حدود مخزن الذاكرة في أنظمة Apple iOS، macOS، tvOS، watchOS، و visionOS. قد تسمح للمهاجم ذي القدرة على الكتابة في الذاكرة بتنفيذ تعليمات برمجية عشوائية.
- CVE-2025-15556 (CVSS score: 7.7): ثغرة تتعلق بتنزيل تعليمات برمجية بدون التحقق من سلامتها في تطبيق Notepad++. قد تسمح للمهاجم باعتراض أو إعادة توجيه حركة تحديثات البرنامج لتنزيل وتنفيذ مثبت يتحكم فيه المهاجم، مما يؤدي إلى تنفيذ تعليمات برمجية عشوائية بصلاحيات المستخدم.
- CVE-2025-40536 (CVSS score: 8.1): ثغرة تتعلق بالتحايل على آليات الأمان في SolarWinds Web Help Desk. قد تسمح للمهاجم غير المصادق عليه بالوصول إلى وظائف مقيدة معينة.
- CVE-2024-43468 (CVSS score: 9.8): ثغرة حقن SQL في Microsoft Configuration Manager. قد تسمح للمهاجم غير المصادق عليه بتنفيذ أوامر على الخادم أو قاعدة البيانات الأساسية عن طريق إرسال طلبات معدة خصيصًا.
وتجدر الإشارة إلى أن ثغرة CVE-2024-43468 تم تصحيحها من قبل مايكروسوفت في أكتوبر 2024 كجزء من تحديثاتها الشهرية. ورغم ذلك، فإن إضافة هذه الثغرة إلى قائمة KEV يشير إلى استغلالها الفعلي في الوقت الحالي، وإن لم تتوفر تفاصيل حول هوية الجهات المهاجمة أو نطاق الهجمات.
ويأتي إدراج CVE-2024-43468 في قائمة KEV بعد تقرير حديث من مايكروسوفت حول عملية اختراق متعددة المراحل استغلت فيها جهات التهديد المثيلات المكشوفة على الإنترنت من SolarWinds Web Help Desk (WHD) للحصول على الوصول الأولي والتحرك جانبيًا عبر شبكة المؤسسة للوصول إلى أصول أخرى ذات قيمة عالية.
ومع ذلك، أفادت مايكروسوفت بأنها ليست واضحة ما إذا كانت الهجمات قد استغلت ثغرات CVE-2025-40551 أو CVE-2025-40536 أو CVE-2025-26399، حيث وقعت الهجمات في ديسمبر 2025 وعلى أجهزة كانت عرضة لكل من مجموعات الثغرات القديمة والجديدة.
بالنسبة لثغرة CVE-2026-20700، أقرت آبل بأنها قد تكون تعرضت للاستغلال في هجوم متطور للغاية استهدف أفرادًا محددين على إصدارات iOS قبل iOS 26، مما يثير احتمال استخدامها لتوصيل برامج تجسس تجارية. وقد عالجت آبل هذه الثغرة في وقت سابق من الأسبوع.
أخيرًا، تم عزو استغلال ثغرة CVE-2025-15556 من قبل شركة Rapid7 إلى جهة تهديد مدعومة من قبل دولة صينية، تُعرف باسم Lotus Blossom (وتعرف أيضًا بأسماء أخرى مثل Billbug و Bronze Elgin و G0030 وغيرها). وتنشط هذه الجهة منذ عام 2009 على الأقل.
وقد تم اكتشاف أن الهجمات المستهدفة كانت تقوم بتوصيل برمجيات خبيثة لم تكن موثقة سابقًا تحت اسم Chrysalis. وعلى الرغم من سد الثغرة في سلسلة التوريد بالكامل في 2 ديسمبر 2025، إلا أن اختراق خط أنابيب تحديث Notepad++ يُقدر أنه امتد لحوالي خمسة أشهر بين يونيو وأكتوبر 2025.
وصف فريق DomainTools Investigations (DTI) الحادث بأنه “اختراق دقيق وهادئ ومنهجي” يشير إلى مهمة سرية لجمع المعلومات الاستخبارية مصممة للحفاظ على الضوضاء التشغيلية عند أدنى حد ممكن. كما وصف الجهة المهددة بأن لديها ميلًا للبقاء لفترات طويلة وتنفيذ حملات متعددة السنوات.
ويكمن جانب مهم في هذه الحملة في أن الكود المصدري لـ Notepad++ ظل سليمًا، بدلاً من الاعتماد على المثبتات المصابة بالبرامج الضارة لتوصيل الحمولة الخبيثة. وهذا بدوره سمح للمهاجمين بتجاوز مراجعات الكود المصدري وفحوصات السلامة، مما مكنهم بشكل فعال من البقاء دون اكتشاف لفترات طويلة، وفقًا لـ DTI.
وأضاف DTI: “من موقعهم الذي تمكنوا من الوصول إليه داخل بنية التحديث، لم يقم المهاجمون بدفع التعليمات البرمجية الخبيثة بشكل عشوائي إلى قاعدة مستخدمي Notepad++ العالمية. وبدلاً من ذلك، مارسوا ضبط النفس، وقاموا بتحويل حركة تحديثات بشكل انتقائي لمجموعة ضيقة من الأهداف والمؤسسات والأفراد الذين كانت مناصبهم أو وصولهم أو أدوارهم التقنية تجعلهم ذوي قيمة استراتيجية”.
“من خلال إساءة استخدام آلية تحديث مشروعة يعتمد عليها المطورون والمسؤولون بشكل خاص، حولوا الصيانة الروتينية إلى نقطة دخول سرية للوصول عالي القيمة. وتعكس الحملة استمرارية في الغرض، وتركيزًا مستمرًا على الاستخبارات الاستراتيجية الإقليمية، مع تنفيذ بأساليب أكثر تطوراً، وأكثر دقة، وأصعب اكتشافًا من التكرارات السابقة.”
في ضوء الاستغلال النشط لهذه الثغرات، أمام الوكالات الفيدرالية المدنية التنفيذية حتى 15 فبراير 2026 لمعالجة CVE-2025-40536، وحتى 5 مارس 2026 لتصحيح الثغرات الثلاث المتبقية.