ثغرة بيانات الاعتماد الصلبة من Dell: كنز لدولة قومية

استهدف أحد الجهات الفاعلة في تهديدات الدول القومية من الصين ثغرة في بيانات اعتماد صلبة من Dell لمدة عامين، مما يبرز خطر ما يحدث عندما يأتي المنتج مُخترقًا مسبقًا.

أفادت شركة Mandiant التابعة لجوجل كلاود أمس عن الثغرة CVE-2026-22769، وهي ثغرة CVSS 10، في Dell RecoverPoint للآلات الافتراضية، وهو منتج لحماية البيانات تبيعه الشركة التقنية. وذكر الباحثون أن مجموعة التهديدات المرتبطة بالصين، المعروفة باسم UNC6201، “استغلت هذه الثغرة منذ منتصف عام 2024 على الأقل للتحرك بشكل جانبي، والحفاظ على الوصول المستمر، ونشر البرمجيات الخبيثة بما في ذلك Slaystyle وBrickstorm وBackdoor جديد يُعرف باسم Grimbolt.”

تعتبر Grimbolt ملحوظة لأنه، كما كتب تشارلز كارماكال، المدير الفني لشركة Mandiant، على لينكد إن، “هذه ثغرة C# تم تجميعها باستخدام التجميع المسبق (AOT)، مما يجعل من الصعب عكس هندستها.”

استخدم الفاعل الثغرة لاختراق أجهزة Dell، وفي بعض الحالات، الانتقال إلى بنية VMware الافتراضية. على الرغم من أن جوجل لم تتعمق كثيرًا في دوافع المهاجمين، إلا أن UNC6201 معروفة تاريخيًا بإجراء التجسس الإلكتروني.

ما هو أكثر إثارة للقلق بشأن هذه الحملة هو طبيعة الثغرة. أثناء تحليل الأجهزة المخترقة، حددت Mandiant طلبات ويب باستخدام اسم المستخدم “admin” موجهة إلى مدير Apache Tomcat المثبت، والذي يُستخدم لنشر عدد من المكونات في RecoverPoint.

“بعد تحليل ملفات التكوين المختلفة التابعة لمدير Tomcat، حددنا مجموعة من بيانات الاعتماد الافتراضية الصلبة لاسم المستخدم admin في /home/kos/tomcat9/tomcat-users.xml. باستخدام هذه البيانات، يمكن للفاعل تهديدي المصادقة على مدير Tomcat الخاص بـ Dell RecoverPoint، وتحميل ملف WAR خبيث باستخدام نقطة النهاية /manager/text/deploy، ثم تنفيذ الأوامر كجذر على الجهاز،” كما جاء في المدونة.

وفقًا لإشعار Dell، فإن CVE-2026-22769 خطير جدًا لأن “مهاجمًا عن بُعد غير مصادق لديه معرفة ببيانات الاعتماد الصلبة يمكن أن يستغل هذه الثغرة مما يؤدي إلى وصول غير مصرح به إلى نظام التشغيل الأساسي واستمرارية على مستوى الجذر.”

توصي الشركة بشدة بأن يقوم العملاء المتأثرون بالترقية إلى إصدار مُعدل من RecoverPoint للآلات الافتراضية (6.0.3.1 HF1) أو اتباع التعليمات الواردة في الإشعار لتشغيل برنامج تصحيح.

استمرارية ثغرات بيانات الاعتماد الصلبة

تمثل CVE-2026-22769 واحدة من أكثر نسخ ثغرات بيانات الاعتماد الصلبة تطرفًا، حيث يمكن للمهاجم استخدام المفاتيح التي تأتي مع المنتج (إلى حد ما) للدخول مباشرة من الباب الأمامي وربما حتى الحصول على وصول جذر.

لم توضح Dell أو الباحثون بالضبط كيف أو لماذا تُركت هذه البيانات، على الرغم من أنه، استنادًا إلى أبحاث Mandiant، قد يكون ذلك نتيجة لخطأ في التكوين من نوع ما. اتصلت Dark Reading بـ Dell للحصول على مزيد من المعلومات. ورفض متحدث باسم الشركة التعليق على القضية لكنه قال في بيان: “لقد تلقينا تقريرًا عن استغلال محدود نشط لهذه الثغرة.”

يقول مايوش داني، مدير أبحاث الأمن في وحدة أبحاث التهديدات في Qualys، إن CVE-2026-22769 تبدو وكأنها حالة كلاسيكية لحساب داخلي أو دعم “لم يتم إزالته بشكل صحيح أو جعله قابلاً للتكوين.”

“غالبًا ما تُستخدم الحسابات الصلبة أو الافتراضية لربط المكونات الداخلية معًا خلال مراحل التطوير المبكرة ثم تصبح صعبة الفصل أو تُنسى بمجرد اعتماد التكوين والكود التنسيقي عليها،” كما يقول داني لـ Dark Reading. “علاوة على ذلك، غالبًا ما تركز جهود اختبار الأمان على تدفقات تسجيل الدخول الموجهة للعملاء، مما يترك نقاط النهاية الإدارية الداخلية مثل مدير Tomcat أو المنافذ ‘المخصصة للمضيف’ للحصول على مراجعة أقل اتساقًا. تتفاقم هذه المشكلة بشكل خاص في الأكواد القديمة. بالإضافة إلى ذلك، عادةً ما يتم تصحيح مثل هذه الحلول بوتيرة بطيئة، وغالبًا ما تحمل أخطاء تصميم قديمة مثل بيانات الاعتماد المضمنة.”

لا تعتبر ثغرات بيانات الاعتماد الصلبة من أكثر أنواع الثغرات شيوعًا، لكنها تظهر بانتظام. أما بالنسبة لسبب حدوث ذلك، فإنه يختلف اعتمادًا على المنتج والسياق.

أحيانًا تُترك بيانات الاعتماد في بناء المنتجات التي يُفترض أن تُستخدم داخليًا فقط (مثل بيئات الاختبار) ولكنها تصل إلى الإنتاج. في بعض الحالات، قد تكون هناك مشكلة كان الفريق على علم بها ولكنه لم يصلحها بسبب المواعيد النهائية والديون التقنية.

يقول مارتن جارتليوس، مدير المنتجات الذكية في شركة Outpost24 للأمن، إن الإغفال في كثير من الحالات هو نتيجة عدم مراجعة المنظمات للأكواد القديمة. “لقد رأينا حالات في مجال إنترنت الأشياء/التقنيات التشغيلية حيث توجد حسابات افتراضية مخفية،” كما يقول. “بشكل أساسي، كلما طالت فترة وجود قاعدة الكود، زادت احتمالية مواجهتك لهذه المشكلة.”