يتعرض عدد متزايد من الشركات لتهديدات أمنية متقدمة مع استغلال المهاجمين لثغرة خطيرة في أجهزة الشبكات من فئة ArrayOS AG، مما يفتح الباب أمام وصول غير مصرح به إلى شبكات المؤسسات. وقد بدأت تقارير تؤكد وقوع هجمات فعلية تستغل هذه الثغرة منذ أغسطس 2025.
تكشف الأبحاث الأمنية عن اكتشاف ثغرة حقن أوامر (command injection) في وظيفة “DesktopDirect” بأجهزة ArrayOS AG، وهي ميزة مصممة لتسهيل الوصول عن بعد للمسؤولين. تسمح هذه الثغرة للمهاجمين بتنفيذ أي أوامر يرغبون بها على الأنظمة المتأثرة بأقل قدر من القيود، مما يشكل خطراً جسيماً على أمن المعلومات.
ثغرة ArrayOS AG تفتح أبواب الشبكات أمام القراصنة
تؤثر هذه الثغرة الأمنية بشكل أساسي على جميع إصدارات ArrayOS AG التي تعمل بالإصدار 9.4.5.8 والإصدارات الأقدم، خاصة تلك التي تم فيها تفعيل ميزة DesktopDirect. وتزداد خطورة الوضع نظراً لأن عدداً كبيراً من المؤسسات لا تزال تستخدم هذه الإصدارات القديمة، على الرغم من أن شركة Array Networks أصدرت نسخة مصححة في مايو 2025.
تشير التقارير الصادرة عن محللي الأمن في JPCERT/CC إلى وجود حملات هجومية منسقة تستغل هذه الثغرة، مما يمثل تحولاً ملحوظاً في استراتيجيات المهاجمين لاستهداف بوابات الشبكات المؤسسية.
آلية الهجوم وانتشار الـ Webshell
تتمثل الآلية الرئيسية للاختراق في إرسال طلبات معدة خصيصاً تحتوي على تسلسلات أوامر إلى واجهة DesktopDirect. يقوم المهاجمون بإساءة استخدام الأحرف الخاصة مثل الفاصلة المنقوطة (semicolon) في عناوين URL للخروج من حدود الأوامر الأصلية وتنفيذ تعليماتهم الخاصة.
في الهجمات التي تم توثيقها، سعى الأمر المنفذ إلى وضع ملف webshell من نوع PHP في مسار محدد لتمكين تنفيذ الأوامر عن بعد على الجهاز المخترق. يعمل هذا الـ webshell كباب خلفي دائم، يمنح المهاجمين القدرة على الحفاظ على الوصول، وسرقة البيانات، والتوسع عميقاً داخل الشبكات المستهدفة.
وقد تم تتبع حركة مرور الهجمات إلى عنوان IP مصدر محدد، على الرغم من أن هذا قد يكون مجرد نقطة واحدة ضمن بنية تحتية أوسع للهجمات.
توصيات عاجلة للمؤسسات
تتطلب إجراءات التخفيف الفورية الترقية إلى الإصدار 9.4.5.9 من ArrayOS AG أو تطبيق حلول بديلة تشمل تعطيل خدمات DesktopDirect في حال عدم الحاجة للوصول عن بعد.
من المهم للغاية أن تقوم المؤسسات بتحفظ سجلات الأحداث (logs) قبل إجراء عملية الترقية. قد يؤدي إعادة تشغيل الجهاز بعد التحديث إلى فقدان هذه السجلات، مما يقضي على الأدلة الجنائية الهامة التي قد تكون ضرورية في تحقيقات خروقات البيانات.