أعلنت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) يوم الأربعاء عن إضافة ثلاث ثغرات أمنية حرجة لقائمة الثغرات المعروفة والمستغلة (Known Exploited Vulnerabilities – KEV)، بناءً على أدلة تثبت استغلالها فعليًا. تستهدف هذه الثغرات أنظمة حيوية تشمل AMI MegaRAC، راوتر D-Link DIR-859، ونظام Fortinet FortiOS.
تفاصيل الثغرات الأمنية
-
CVE-2024-54085 (تقييم الخطورة CVSS: 10.0): ثغرة تجاوز المصادقة عن طريق انتحال في واجهة Redfish Host الخاصة بـ AMI MegaRAC SPx، تتيح للمهاجم السيطرة عن بعد على الجهاز.
-
CVE-2024-0769 (CVSS: 5.3): ثغرة تنقل مسار في راوتر D-Link DIR-859 تسمح بتصعيد الامتيازات والسيطرة غير المصرح بها. هذه الثغرة غير مصححة حتى الآن.
-
CVE-2019-6693 (CVSS: 4.2): ثغرة مفتاح تشفير ثابت في أنظمة FortiOS وFortiManager وFortiAnalyzer، يمكن للمهاجم فك تشفير بيانات حساسة مثل كلمات المرور من خلال الوصول إلى ملفات تكوين CLI أو النسخ الاحتياطية.
تهديدات استغلال CVE-2024-54085
شركة Eclypsium المتخصصة في أمان البرمجيات الثابتة، والتي كشفت عن هذه الثغرة في وقت سابق من العام الحالي، أوضحت أن استغلال هذه الثغرة قد يمكن المهاجمين من تنفيذ مجموعة واسعة من الأفعال الخبيثة، مثل نشر البرمجيات الخبيثة والتلاعب ببرمجيات الجهاز.
قال الباحث الأمني بول أسادوريان: “يمكن استغلال الثغرة من خلال إرسال طلب HTTP POST لجهاز BMC (Baseboard Management Controller) المصاب. تم نشر نموذج برمجي للاستغلال يسمح بإنشاء حساب إداري دون الحاجة للمصادقة المسبقة.”
مخاطر ما بعد الاستغلال
بعد السيطرة على وحدة BMC، يمكن للمهاجمين تنفيذ أفعال مثل:
-
زرع أكواد خبيثة ضمن برمجيات BMC لتجنب الكشف والبقاء بعد إعادة تثبيت النظام أو استبدال الأقراص.
-
تجاوز آليات الحماية التقليدية مثل مراقبة نقاط النهاية والتسجيل.
-
التحكم الكامل عن بعد في تشغيل أو إيقاف أو إعادة تشغيل الخادم.
-
سرقة بيانات اعتماد المستخدمين المتصلة بإدارة النظام واستخدامها للتنقل الجانبي داخل الشبكة.
-
التنصت على بيانات حساسة أو استخراجها دون اكتشاف.
-
تخريب برمجيات النظام عمداً لتعطيل تشغيل الخوادم والتسبب في أضرار تشغيلية جسيمة.
انتشار الأجهزة المصابة
تتواجد حوالي 2000 وحدة AMI MegaRAC BMC معرضة للإنترنت، فضلاً عن العديد منها داخل الشبكات الداخلية. شركات معروفة تستخدم هذه المنتجات تشمل AMD، Fujitsu، Huawei، Nvidia، Qualcomm، وغيرها.
حالة ثغرة D-Link DIR-859
تم الكشف عن استغلال هذه الثغرة منذ عام كامل ضمن حملة تستهدف تسريب أسماء المستخدمين وكلمات المرور ومعلومات أخرى. جدير بالذكر أن هذه الأجهزة وصلت لنهاية دعمها منذ ديسمبر 2020، ما يعني عدم توفر تحديثات أمنية، وينصح المستخدمون بالتوقف عن استخدامها واستبدالها.
استغلال ثغرة Fortinet CVE-2019-6693
تم رصد استغلال هذه الثغرة من قبل مجموعات مرتبطة ببرمجيات الفدية Akira للحصول على الوصول الأولي إلى الشبكات المستهدفة.
توجيهات للوكالات الحكومية الأمريكية
نظراً لاستغلال هذه الثغرات بنشاط، يتوجب على وكالات الفرع التنفيذي المدني الفيدرالي تطبيق الإجراءات التصحيحية اللازمة بحلول 16 يوليو 2025 لضمان أمن شبكاتها.
