في عالم متزايد التعقيد من التهديدات السيبرانية، أضافت CISA خمس ثغرات أمنية تؤثر على أبل وCraft CMS وLaravel إلى قائمة الثغرات المعروفة المستغلة، مما يستدعي اتخاذ إجراءات فورية.
تحذيرات CISA بشأن ثغرات أبل وCraft CMS وLaravel
أضافت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) يوم الجمعة خمس ثغرات أمنية تؤثر على أبل وCraft CMS وLaravel Livewire إلى قائمة الثغرات المعروفة المستغلة (KEV)، داعية الوكالات الفيدرالية إلى إصلاحها بحلول 3 أبريل 2026.
الثغرات المعروفة
- CVE-2025-31277 (درجة CVSS: 8.8) – ثغرة في WebKit الخاص بأبل قد تؤدي إلى تلف في الذاكرة عند معالجة محتوى ويب مصمم بشكل خبيث. (تم إصلاحها في يوليو 2025)
- CVE-2025-43510 (درجة CVSS: 7.8) – ثغرة تلف في الذاكرة في مكون نواة أبل قد تسمح لتطبيق خبيث بالتسبب في تغييرات غير متوقعة في الذاكرة المشتركة بين العمليات. (تم إصلاحها في ديسمبر 2025)
- CVE-2025-43520 (درجة CVSS: 8.8) – ثغرة تلف في الذاكرة في مكون نواة أبل قد تسمح لتطبيق خبيث بالتسبب في إنهاء النظام بشكل غير متوقع أو كتابة ذاكرة النواة. (تم إصلاحها في ديسمبر 2025)
- CVE-2025-32432 (درجة CVSS: 10.0) – ثغرة حقن كود في Craft CMS قد تسمح لمهاجم عن بعد بتنفيذ كود عشوائي. (تم إصلاحها في أبريل 2025)
- CVE-2025-54068 (درجة CVSS: 9.8) – ثغرة حقن كود في Laravel Livewire قد تسمح لمهاجمين غير مصادق عليهم بتحقيق تنفيذ أوامر عن بعد في سيناريوهات معينة. (تم إصلاحها في يوليو 2025)
تأتي إضافة الثغرات الثلاثة الخاصة بأبل إلى قائمة KEV بعد تقارير من مجموعة جوجل للاستخبارات التهديدية (GTIG) وiVerify وLookout حول مجموعة استغلال iOS تحمل الاسم الرمزي DarkSword التي تستغل هذه الثغرات، بالإضافة إلى ثلاث ثغرات أخرى، لنشر عائلات مختلفة من البرمجيات الخبيثة مثل GHOSTBLADE وGHOSTKNIFE وGHOSTSABER لسرقة البيانات.
تُعتبر CVE-2025-32432 قد استُغلت كثغرة يوم الصفر من قبل جهات تهديد غير معروفة منذ فبراير 2025، وفقًا لـ Orange Cyberdefense SensePost. ومنذ ذلك الحين، تم رصد مجموعة اقتحام تُعرف باسم Mimo (المعروفة أيضًا باسم Hezb) تستغل الثغرة لنشر مُعدّن عملات مشفرة وبرمجيات وكيل سكنية.
تُعتبر CVE-2025-54068 من الثغرات التي تم الإبلاغ عن استغلالها مؤخرًا من قبل فريق Ctrl-Alt-Intel للبحث في التهديدات كجزء من الهجمات التي نفذتها مجموعة القرصنة المدعومة من الدولة الإيرانية، MuddyWater (المعروفة أيضًا باسم Boggy Serpens).
في تقرير نُشر في وقت سابق من هذا الأسبوع، أشارت وحدة 42 من Palo Alto Networks إلى استهداف الخصوم المتواصل للبنية التحتية الدبلوماسية والحيوية، بما في ذلك الطاقة والبحرية والمالية، عبر الشرق الأوسط وأهداف استراتيجية أخرى حول العالم.
“بينما تظل الهندسة الاجتماعية سمة مميزة لها، فإن المجموعة تزيد أيضًا من قدراتها التكنولوجية،” قالت وحدة 42. “تشمل أدواتها المتنوعة برمجيات خبيثة معززة بالذكاء الاصطناعي تتضمن تقنيات مضادة للتحليل لضمان الاستمرارية على المدى الطويل. هذه المجموعة من الهندسة الاجتماعية والأدوات المطورة بسرعة تخلق ملف تهديد قوي.”
“لدعم حملاتها الكبيرة في الهندسة الاجتماعية، تستخدم Boggy Serpens منصة تنسيق ويب مخصصة،” قالت وحدة 42. “تتيح هذه الأداة للمشغلين أتمتة تسليم البريد الإلكتروني الجماعي مع الحفاظ على التحكم الدقيق في هويات المرسلين وقوائم المستهدفين.”
تُنسب المجموعة إلى وزارة الاستخبارات والأمن الإيرانية (MOIS)، وتركز بشكل أساسي على التجسس السيبراني، على الرغم من أنها ارتبطت أيضًا بعمليات تخريبية تستهدف معهد التخنيون الإسرائيلي للتكنولوجيا من خلال تبني شخصية برامج الفدية DarkBit.
أحد السمات المميزة لتكتيكات MuddyWater هو استخدام حسابات مخترقة تعود لجهات حكومية ورسمية في هجماتها عبر التصيد، واستغلال العلاقات الموثوقة لتفادي أنظمة الحظر المعتمدة على السمعة وتوصيل البرمجيات الخبيثة.
في حملة مستمرة تستهدف شركة بحرية وطاقة وطنية غير مسماة في الإمارات العربية المتحدة بين 16 أغسطس 2025 و11 فبراير 2026، يُقال إن المهاجم قد نفذ أربع موجات متميزة من الهجمات، مما أدى إلى نشر عائلات مختلفة من البرمجيات الخبيثة، بما في ذلك GhostBackDoor وNuso (المعروفة أيضًا باسم HTTP_VIP). تشمل بعض الأدوات البارزة الأخرى في ترسانة المهاجم UDPGangster وLampoRAT (المعروفة أيضًا باسم CHAR).
“تظهر الأنشطة الأخيرة لـ Boggy Serpens ملف تهديد يتطور، حيث تدمج المجموعة منهجياتها الراسخة مع آليات محسنة للاستمرارية التشغيلية،” قالت وحدة 42. “من خلال تنويع خط أنابيب تطويرها لتشمل لغات برمجة حديثة مثل Rust وسير العمل المعزز بالذكاء الاصطناعي، تخلق المجموعة مسارات متوازية تضمن التكرار اللازم للحفاظ على وتيرة تشغيل عالية.”
تظل هذه الثغرات تهديدًا مستمرًا، ويتوجب على جميع الوكالات الفيدرالية والجهات ذات الصلة اتخاذ التدابير اللازمة لحماية أنظمتها من الاستغلال المحتمل.
