يتعرض قطاع الإنشاءات لتزايد في الهجمات الإلكترونية، حيث يستهدف المهاجمون شركات هذا القطاع عن طريق استغلال ثغرات في تطبيقات الأعمال المستخدمة في مواقع العمل. وقد تم رصد استهداف تطبيق Mjobtime لتتبع الوقت في مواقع الإنشاءات، وهو تطبيق يعتمد غالباً على قاعدة بيانات MSSQL ويعمل عبر خادم IIS.
تكمن المشكلة الرئيسية في وجود ثغرة حقن SQL أعمى (blind SQL injection) في الإصدار 15.7.2 من تطبيق Mjobtime، وتحمل المعرف CVE-2025-51683. تسمح هذه الثغرة للمهاجمين عن بعد بإرسال طلبات HTTP POST مصممة خصيصًا إلى نقطة النهاية /Default.aspx/update_profile_Server في التطبيق. يؤدي ذلك إلى إجبار قاعدة البيانات على تنفيذ أوامر النظام.
استغلال ثغرة Mjobtime في قطاع الإنشاءات
تمنح هذه الآلية المهاجمين وصولاً مباشراً من واجهة ويب عامة إلى محرك قاعدة البيانات. ومن هناك، يمكنهم استغلال ميزات قوية مصممة خصيصاً للمسؤولين. في الحالات الواقعية، تظهر حركة المرور الخبيثة أولاً في سجلات IIS كطلبات POST متكررة إلى نقطة النهاية الضعيفة.
وتتبع ذلك عملية تفعيل الإجراء المخزن الموسع xp_cmdshell ضمن تطبيق Mjobtime المثبت على MSSQL. وبمجرد تفعيل xp_cmdshell، يسمح المهاجم بتنفيذ أوامر نظام التشغيل باستخدام صلاحيات حساب الخدمة، مما يمنحهم سيطرة عميقة على نظام التشغيل المستهدف.
نمط الهجمات المكتشفة
لاحظ محللو شركة Huntress هذا النمط في ثلاث بيئات عملاء منفصلة خلال عام 2025. وجميعها مرتبطة بنشر تطبيق Mjobtime في قطاع الإنشاءات. في الحالة الأولى، سجل المحللون استخدام جهة التهديد لـ xp_cmdshell لتنفيذ أوامر مثل “cmd /c net user” وإجراء اختبار ping إلى نطاق خارجي (oastify.com)، مما يشير بوضوح إلى اكتشاف واستكشاف أو اختبار اتصال من خادم قاعدة البيانات المخترق.
في حالتين أخريين، حاول المهاجمون سحب حمولات خبيثة عن بعد باستخدام أدوات مثل wget و curl، لكن تم إيقافهم قبل استكمال مراحل الاختراق. يتضح المسار التنفيذي المرتبط بهذه الأوامر على أحد الأنظمة المتأثرة.
من طلب IIS POST إلى تنفيذ أوامر MSSQL
تبدأ سلسلة الإصابة عندما يرسل المهاجم طلباً مصمماً بعناية بصيغة POST إلى وظيفة update_profile_Server التي يوفرها واجهة Mjobtime الأمامية. نظراً لوجود ثغرة حقن SQL أعمى، يقوم تطبيق الويب بتمرير المدخلات التي يتحكم فيها المهاجم إلى الواجهة الخلفية لـ MSSQL دون التحقق الكافي. هذا يسمح للمهاجم بالتلاعب بالاستعلامات التي يقوم التطبيق بتنفيذها على قاعدة البيانات.
على مدار عدة طلبات، يستخدم المهاجم هذا التحكم لتمكين xp_cmdshell في نسخة Mjobtime، ثم يبدأ بتنفيذ أوامر على مستوى النظام. يوضح ذلك مفهوم البرامج التجريبية من أبحاث InfoGuard Labs، والتي تعكس السلوك الملاحظ في حالات Huntress.
الوصول إلى خادم قاعدة البيانات
بمجرد تفعيل xp_cmdshell، يصبح خادم قاعدة البيانات فعلياً بمثابة واجهة أوامر عن بعد خلف جدار الحماية، ويمكن الوصول إليه عبر ما يبدو وكأنه حركة مرور ويب عادية. وهذا لا يعرض فقط بيانات المشاريع وبيانات الرواتب الحساسة لشركات الإنشاءات، بل يوفر أيضاً نقطة انطلاق يمكن للمهاجم استخدامها للتغلغل بشكل أعمق في الشبكة إذا لم يتم احتواء المشكلة بسرعة.