تستمر التهديدات السيبرانية في التطور، ويجب على المؤسسات أن تكون على دراية بالمخاطر التي تأتي مع الأجهزة القديمة. في الآونة الأخيرة، تم اكتشاف استغلال ثغرة صفراء في أجهزة D-Link الموقوفة، مما يستدعي اتخاذ إجراءات فورية.
يستغل المهاجمون بنشاط ثغرة صفراء في عدة أجهزة بوابة DSL من D-Link تم إيقاف دعمها لتنفيذ أوامر شل عشوائية على المنتجات المتأثرة.
معظم البوابات التي تتعرض للهجوم هي منتجات توقفت D-Link عن دعمها منذ خمس سنوات أو أكثر، لذا لم تعد تتلقى أي تحديثات للبرامج الثابتة أو تصحيحات أمنية أو دعم صيانة. يجب على المؤسسات التي ترغب في تقليل المخاطر استبدال المنتجات المتأثرة بأخرى تدعمها D-Link حاليًا، وفقًا لما ذكرته الشركة في إشعارها هذا الأسبوع.
استغلال نشط منذ منتصف ديسمبر؟
قالت D-Link إنها علمت بالثغرة، المعينة برمز CVE-2026-0625 (درجة CVSS: 9.3)، عندما أبلغتها VulnCheck عنها في 16 ديسمبر 2025. في ذلك الوقت، أفادت VulnCheck بأنها رصدت “استغلالًا نشطًا لمكتبة CGI المخترقة في بعض أجهزة D-Link” في بيئات الإنتاج.
أطلقت D-Link على الفور تحقيقًا لتتبع الاستخدام الحالي والتاريخي لمكتبة CGI المتأثرة عبر جميع عروض المنتجات ذات الصلة، حسبما ذكرت الشركة التي تتخذ من تايوان مقرًا لها. لكن النطاق الكامل للمشكلة لا يزال غير واضح بعد أكثر من ثلاثة أسابيع من الاكتشاف الأولي. لم تتمكن كل من D-Link وVulnCheck بعد من تحديد بالضبط أي من منتجات بوابة DSL تأثرت بسبب الاختلافات في كيفية تنفيذ كل منها لمكتبة CGI.
تقوم D-Link بإجراء مراجعة مفصلة على مستوى البرنامج الثابت عبر منصاتها القديمة والحالية لمعرفة أي المنتجات تأثرت. وقد وعدت الشركة بنشر قائمة مفصلة بالنماذج المتأثرة وإصدارات البرنامج الثابت في وقت لاحق من هذا الأسبوع. “أبلغت VulnCheck عن هذه المشكلة بعد رصد نشاط استغلال في بيئات حية. تظهر التحليلات الحالية أنه لا توجد طريقة موثوقة لاكتشاف رقم الطراز بخلاف فحص البرنامج الثابت المباشر”، قالت D-Link في إشعارها.
CVE-2026-0625 هي ثغرة في حقن الأوامر في نقطة نهاية dnscfg.cgi التي تتعامل مع إعدادات خادم DNS. تتعلق الثغرة بفشل جهاز التوجيه في التحقق بشكل صحيح أو تنظيف مدخلات المستخدم قبل معالجة أوامر تكوين DNS. تسمح الثغرة لمهاجم عن بعد بحقن أوامر خبيثة، مت disguised كإعدادات DNS شرعية، وتنفيذ تعليمات برمجية عشوائية على المنتجات المتأثرة.
“النقطة المتأثرة مرتبطة أيضًا بسلوك تعديل DNS غير المصرح به (“DNSChanger”) الذي وثقته D-Link، والتي أفادت عن حملات استغلال نشطة تستهدف متغيرات البرنامج الثابت من طرازات DSL-2740R وDSL-2640B وDSL-2780B وDSL-526B من 2016 إلى 2019″، قالت VulnCheck في إشعارها.
المخاطر من التقنيات القديمة
تسمح ثغرات حقن الأوامر للمهاجمين بتنفيذ أوامر نظام التشغيل العشوائية على الجهاز المتأثر، مما يمكنهم من سرقة البيانات الحساسة، والتحول إلى موارد الشبكة الأخرى، وإنشاء أبواب خلفية دائمة، أو تعريض أمان الشبكة للخطر بالكامل. نظرًا لأن أجهزة D-Link عادة ما تكون موجودة عند محيط الشبكة وتتعامل مع الاتصال بالإنترنت، فإن الاستغلال الناجح يمكن أن يوفر للمهاجمين موطئ قدم أولي للاختراق الأوسع للشبكة.
تعتبر الثغرة الجديدة واحدة من العديد من الثغرات التي كان على المؤسسات التي تستخدم تقنيات D-Link التعامل معها في السنوات الأخيرة. في العديد من الحالات، استهدف المهاجمون الثغرات بعد سنوات من الكشف الأولي، وغالبًا عندما توقفت D-Link عن دعم المنتجات بنشاط.
في الوقت نفسه، أضافت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) خمسة من هذه الثغرات D-Link إلى كتالوج الثغرات المعروفة المستغلة في عام 2025 وحده. من بينها CVE-2020-25079، وهي ثغرة حقن أوامر من عام 2020 أثرت على المنتجات التي كانت في نهاية عمرها (EoL) أو نهاية الخدمة (EoS)؛ CVE-2022-40799، وهي ثغرة على مستوى نظام التشغيل من عام 2022 أثرت على الأجهزة EoL وEoS؛ وCVE-2024-0769، وهي ثغرة في تجاوز المسار من عام 2024 أثرت أيضًا على منتجات D-Link الموقوفة.
بالنسبة للمؤسسات، تسلط الثغرات الضوء على المخاطر الأمنية المستمرة التي تطرحها البرمجيات والمعدات التي انتهى عمرها. لا تزال العديد من المؤسسات تستخدم أنظمة تشغيل قديمة وبرامج وأجهزة لفترة طويلة بعد انتهاء دعم البائع، غالبًا بسبب قيود الميزانية وأحيانًا لأن التقنيات لا تزال تعمل كما هو متوقع. توضح الثغرة الجديدة في D-Link كيف يمكن أن تعود هذه القرارات المتعلقة بالتمسك بالمنتجات القديمة لتطارد المؤسسات وتكلفها الكثير من المال.
في الختام، يجب على المؤسسات أن تتخذ خطوات استباقية للتخلص من الأجهزة القديمة والتأكد من أنها تستخدم تقنيات حديثة مدعومة. هذا ليس فقط لحماية بياناتها، ولكن أيضًا لضمان أمان الشبكة بشكل عام.
