في عالم الأمن السيبراني المتطور، تعتبر الثغرات المعروفة المستغلة (KEV) أداة حيوية للمنظمات. لكن التحديثات غير المعلنة التي تجريها CISA قد تؤثر على كيفية تقييم المخاطر.
تحديثات غير معلنة للرانسوم وير في كتالوج KEV
سعت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) لسنوات لمنح المنظمات ميزة في جهودها لتحديد أولويات الثغرات والتخفيف منها بفعالية، لكن أحد الباحثين حدد عيبًا كبيرًا في نهج الوكالة.
وجد غلين ثورب، المدير الأول لأبحاث الأمن والهندسة الاكتشافية في GreyNoise، أن العشرات من الإدخالات في كتالوج الثغرات المعروفة المستغلة (KEV) تم تحديثها بهدوء طوال عام 2025 لتعكس الهجمات الرانسوم وير ضد تلك الثغرات. يتضمن كتالوج KEV حقلًا يسأل “هل يُعرف أنه تم استخدامه في حملات رانسوم وير؟” مع إدراج الغالبية العظمى من الإدخالات في البداية الحالة كـ”غير معروف”.
وجد ثورب 59 ثغرة تم تغيير حالة الرانسوم وير الخاصة بها بهدوء إلى “معروف” في عام 2025 بعد إدراجها الأولي في الكتالوج. ومع ذلك، لم يتم الإعلان عن تغييرات الحالة لنشاط الرانسوم وير، وهو ما وجده ثورب محبطًا.
كتب ثورب في منشور مدونة يوم الاثنين: “عندما تتغير الحالة من ‘غير معروف’ إلى ‘معروف’، فإن CISA تقول: ‘لدينا أدلة على أن مشغلي الرانسوم وير يستخدمون الآن هذه الثغرة في حملاتهم.’ هذا تغيير مادي في موقف المخاطر لديك. يجب أن تتغير حسابات الأولويات لديك. ولكن لا يوجد تنبيه، لا إعلان. مجرد تغيير في حقل في ملف JSON.”
إذا كانت منظمة ما تقوم بتخفيض أولوية الثغرات في كتالوج KEV التي لم يتم استغلالها في هجمات رانسوم وير، فسيتعين عليها إعادة تقييم الثغرات التي تم تغييرها إلى “معروف”، كما أوضح ثورب. المشكلة هي أنه ما لم تكن تقوم بمراجعة الكتالوج يوميًا، فلن يكون لديك أي فكرة عن أن مشغلي الرانسوم وير يستغلون بالفعل ثغرة معينة.
قال ثورب إن هذا يكشف عن مشكلة في استهلاك معلومات التهديد. “نحن جيدون في الرد على الإعلانات الجديدة. جيدون في تتبع الاستغلال النشط،” كتب. “لكننا لسنا جيدين في ملاحظة عندما تتطور خصائص التهديدات الموجودة.”
داخل تقلبات كتالوج KEV
وجد ثورب “التقلبات المخفية” من خلال أخذ لقطة يومية من كتالوج KEV ومقارنتها لتحديد التغييرات في الحقول. تضمنت الـ 59 ثغرة التي تم تغييرها لتعكس نشاط رانسوم وير قائمة من البائعين التي “لا ينبغي أن تفاجئ أحدًا”، وفقًا لثورب.
تتضمن هذه القائمة 16 إدخالًا لمايكروسوفت، وستة لإيفانتي، وخمسة لفورتينت، وثلاثة لشبكات بالو ألتو، وثلاثة لزيمبرا. وفقًا لمنشور المدونة، كانت 19 من الثغرات تتعلق بأجهزة الشبكة الطرفية. “يقوم مشغلو الرانسوم وير ببناء كتيبات حول محيطك،” حذر ثورب.
كانت ثغرات تنفيذ التعليمات البرمجية عن بُعد وتجاوز المصادقة هي الأنواع الأكثر شيوعًا بين الـ 59 تقلبًا، حيث “يُفضل مشغلو الرانسوم وير سلاسل الهجوم ‘الدخول والذهاب’،” أشار ثورب.
تضمن منشور المدونة أيضًا الوقت بين إضافة كل ثغرة إلى كتالوج KEV والتغيير الصامت إلى نشاط رانسوم وير “معروف”. في بعض الحالات، كانت الفجوة الزمنية يومًا واحدًا فقط بعد إضافة الثغرة إلى الكتالوج. على سبيل المثال، تم تحديث حالة الرانسوم وير لـ CVE-2025-61882، وهي ثغرة حرجة في Oracle E-Business Suite، في اليوم التالي لإضافتها إلى الكتالوج في 6 أكتوبر 2025.
في حالات أخرى، امتدت الفجوة لعدة أشهر وحتى سنوات. تم الكشف عن ثغرة Bluekeep الشهيرة في خدمات سطح المكتب عن بُعد من مايكروسوفت في عام 2019 وتم إضافتها إلى كتالوج KEV في أواخر عام 2021. ومع ذلك، لم تؤكد CISA نشاط رانسوم وير ضد الثغرة إلا في صيف عام 2025 وقامت بتحديث حالتها.
قال ثورب لـ Dark Reading: “الشيء الوحيد الذي كان مفاجئًا حقًا هو طول الوقت الذي جلست فيه بعض الثغرات الموجودة في KEV بدون علامة ‘معروف’.” نظرًا لأن هذه المبادرة بدأت في أكتوبر 2023، كنت سأفترض أن العديد من الثغرات الموجودة كانت ستُعاد تقييمها بالحالة، ولكن كما ترى في رسمنا البياني، جلست بعضها لفترة طويلة جدًا.”
حل لتقلبات KEV
تعتبر التحديثات الصامتة مشكلة لأنه، كما أشار ثورب، تتطور التهديدات مع مرور الوقت وقد لا تكون المنظمات على علم بأن مشغلي الرانسوم وير يستغلون إدخالًا في KEV. “الاعتماد على KEV لتحديد الأولويات هو بالفعل مؤشر متأخر، وانتظار علم الرانسوم وير هو أبطأ حتى،” كتب.
من الجدير بالذكر أيضًا أن معظم الثغرات تُضاف إلى الكتالوج مع حالة الرانسوم وير كـ “غير معروف”. أخبر ثورب Dark Reading أنه منذ عام 2024، تم إضافة سبع ثغرات فقط مع العلم الرانسوم وير في البداية، بينما تم تغيير 88 لاحقًا. “لا أعتقد أنه من المفاجئ رؤية مثل هذه النسبة، نظرًا للوقت الذي يستغرقه الإبلاغ عن نشاط رانسوم وير والاستجابة له. سأفترض أن ذلك يعود أساسًا إلى إضافتها إلى KEV أولاً، ثم تلقي أدلة الرانسوم وير لاحقًا.”
لمعالجة هذا التفاوت، أنشأ ثورب خلاصة RSS تتعقب تحديثات CISA للكتالوج. “يتحقق كل ساعة وسينبهك كلما تغير علم الرانسوم وير. لا مزيد من التغييرات الصامتة،” كتب.
حث ثورب المنظمات على الاستفادة من الأداة والبقاء على اطلاع بالتهديدات المتطورة للحصول على تقييمات مخاطر أكثر دقة. “تقوم CISA بالفعل بتتبع هذه الحملات الرانسوم وير، وترتبط TTPs، وتحديث التقييمات،” كتب. “تلك المعلومات الاستخباراتية لا تهم إلا إذا كان المدافعون يراقبون الفجوة، وليس فقط العناوين الرئيسية.”
تواصلت Dark Reading مع CISA للتعليق على تقرير GreyNoise، لكن الوكالة لم تستجب في وقت النشر.
من المهم أن تبقى المنظمات على اطلاع دائم بالتحديثات في كتالوج KEV لضمان أمان أنظمتها والتخفيف من المخاطر المرتبطة بالثغرات المستغلة.
