سولار ويندز: ثغرة تسمح بتنفيذ تعليمات برمجية عن بعد في هجمات متعددة المراحل

كشفت مايكروسوفت عن رصدها لتسلل متعدد المراحل استغل ثغرات في أنظمة SolarWinds Web Help Desk (WHD) المكشوفة على الإنترنت، بهدف الحصول على إمكانية الوصول الأولية والتحرك الجانبي عبر شبكة المؤسسة للوصول إلى أصول أخرى ذات قيمة عالية. ويشير هذا الاكتشاف إلى ضرورة تعزيز أمن الأنظمة ضد الهجمات السيبرانية المتقدمة.

ولم يتضح ما إذا كانت هذه الهجمات قد استغلت ثغرات تم الكشف عنها مؤخراً (CVE-2025-40551، وقيمتها 9.8، و CVE-2025-40536، وقيمتها 8.1)، أم ثغرة تم تصحيحها مسبقاً (CVE-2025-26399، وقيمتها 9.8). ومع ذلك، أكد فريق مايكروسوفت لأبحاث الأمان أنه نظراً لأن الهجمات وقعت في ديسمبر 2025 على أنظمة كانت معرضة لكلتا المجموعتين من الثغرات في نفس الوقت، فإنه لا يمكن التأكيد بشكل موثوق على الثغرة الدقيقة المستخدمة في الاختراق الأولي.

تداعيات استغلال ثغرات SolarWinds Web Help Desk

يُظهر استغلال أنظمة SolarWinds WHD المكشوفة مدى خطورة الثغرات الأمنية، خاصة تلك التي تتيح تنفيذ التعليمات البرمجية عن بعد. وثغرة CVE-2025-40536، على سبيل المثال، تسمح للمهاجم غير المصادق عليه بالوصول إلى وظائف مقيدة. في المقابل، كل من CVE-2025-40551 و CVE-2025-26399 تتعلقان بثغرات تجاوز الوثوق بالبيانات، مما قد يؤدي إلى تنفيذ تعليمات برمجية عن بعد.

وقد أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) مؤخراً CVE-2025-40551 إلى قائمة الثغرات المستغلة المعروفة، مشيرة إلى أدلة على استغلالها النشط في البرية. وتم إصدار أوامر للوكالات الفيدرالية بتطبيق الإصلاحات اللازمة بحلول 6 فبراير 2026.

آلية الهجوم والتصعيد

بمجرد نجاح الهجوم على نظام WHD المكشوف، تمكن المهاجمون من تنفيذ تعليمات برمجية عن بعد غير مصادق عليها وتشغيل أوامر عشوائية ضمن سياق تطبيق WHD. وبعد ذلك، استخدم المهاجمون خدمة PowerShell لتحميل وتنفيذ حمولات خبيثة باستخدام خدمة BITS [Background Intelligent Transfer Service].

في المرحلة التالية، قام المهاجمون بتحميل مكونات شرعية مرتبطة بحل Zoho ManageEngine، وهو حل شرعي للمراقبة والإدارة عن بعد (RMM). وقد سمح لهم هذا بالتحكم عن بعد في النظام المصاب.

خطوات التصعيد اللاحقة

تبع المهاجمون سلسلة من الإجراءات لتعزيز سيطرتهم، بما في ذلك:

• استكشاف المستخدمين والمجموعات الحساسة في النطاق، بما في ذلك مسؤولي النطاق (Domain Admins).
• تأسيس الاستمرارية عبر اتصالات SSH وRDP، مع محاولة إنشاء مهمة مجدولة لتشغيل جهاز افتراضي (QEMU) تحت حساب SYSTEM عند بدء تشغيل النظام للتغطية على آثارهم.
• استخدام تحميل جانبي لوحدات DLL (DLL side-loading) على بعض الأجهزة باستخدام “wab.exe”، وهو مجلد نظام شرعي مرتبط بدفتر عناوين Windows، لتنفيذ وحدة DLL خبيثة (“sspicli.dll”) لسرقة محتويات ذاكرة LSASS وسرقة بيانات الاعتماد.

وفي حالة واحدة على الأقل، قامت مايكروسوفت بتوثيق قيام المهاجمين بتنفيذ هجوم DCSync، حيث يتم محاكاة وحدة تحكم بالمجال (DC) لطلب تجزئات كلمات المرور ومعلومات حساسة أخرى من قاعدة بيانات Active Directory.

التوصيات والدروس المستفادة

لمواجهة هذا التهديد، يُنصح المستخدمون بتحديث أنظمة WHD الخاصة بهم بشكل مستمر، والبحث عن أي أدوات RMM غير مصرح بها وإزالتها، وتدوير حسابات الخدمة والمشرفين، وعزل الأجهزة المصابة للحد من نطاق الاختراق. ويؤكد هذا الاختراق على أهمية الحماية الشاملة للأنظمة.

وأشارت مايكروسوفت إلى أن هذا النمط يعكس مشكلة شائعة ولكنها ذات تأثير كبير: يمكن لتطبيق واحد مكشوف أن يوفر مساراً للاختراق الكامل للمجال عندما تكون الثغرات غير مصححة أو غير مراقبة بشكل كافٍ. ويعتمد المهاجمون بشكل كبير على تقنيات “العيش على الأرض” (living-off-the-land)، واستغلال الأدوات الإدارية الشرعية، وآليات الاستمرارية منخفضة الضوضاء، مما يعزز أهمية الدفاع المتعمق، والتصحيح الفوري للخدمات المواجهة للإنترنت، والكشف السلوكي عبر طبقات الهوية ونقاط النهاية والشبكة. ويُعد الوعي بالأمن السيبراني أمراً بالغ الأهمية.