وسعت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) مطلع الأسبوع قائمة الثغرات المستغلة فعلياً (KEV) بإضافة 5 ثغرات جديدة، بينها ثغرتان تمسان بيئات Linux مباشرة. وحددت الوكالة يوم الاثنين 16 فبراير 2026 كموعد نهائي لمعالجة هذه الثغرات داخل الجهات الفيدرالية أو التوقف عن استخدام المنتجات المتأثرة، ما يعكس حساسية التهديدات المرتبطة بها.
Telnetd في GNU Inetutils: الدخول المباشر إلى الجذر عن بُعد
تعد الثغرة CVE-2026-24061 الأعلى خطورة في التحديث الأخير، بدرجة تقييم 9.8، وتتمركز داخل خدمة telnetd ضمن حزمة GNU Inetutils. الخطأ الأساسي يكمن في عدم فصل متغير USER من متغيرات البيئة قبل استخدامه أثناء عملية المصادقة، ما يتيح للمهاجم استغلال البروتوكول لتمرير معاملات مثل -f، والوصول إلى جلسة root مباشرة.
وتشير تقارير فنية إلى أن الهجوم يتم من خلال أوامر Telnet معدة خصيصاً تسمح بتجاوز المصادقة، ما يؤدي إلى تنفيذ أوامر عن بُعد (RCE) بصلاحيات الجذر على الأنظمة المكشوفة.
أثرت الثغرة على إصدارات الحزمة منذ مايو 2015 (الإصدار 1.9.3) وحتى ديسمبر 2025 (الإصدار 2.7)، أي أنها ظلت موجودة لأكثر من 10 سنوات قبل اكتشافها.
محاولات استغلال موثقة بعد الكشف
بعد الإعلان عن الثغرة في 20 يناير 2026، رصدت GreyNoise 60 محاولة استغلال من 18 مصدر تهديد مختلف، تباينت بين الاستطلاع، وترسيخ الوصول عبر SSH، ونشر برمجيات خبيثة. وتشير تقديرات بحثية إلى وجود مئات آلاف الأجهزة على الإنترنت تظهر خدمة Telnet، وإن كان التأثر يخص فقط خدمة GNU telnetd.
ثغرة في نواة Linux: تصعيد محلي للامتيازات
الثغرة الثانية CVE-2018-14634 تمس نواة Linux مباشرة، وتصنّف كـ Integer Overflow في دالة create_elf_tables(). وتسمح لمستخدم محلي غير مميز برفع صلاحياته إلى root عبر تنفيذ ملف ثنائي بصلاحيات مرتفعة مثل SUID.
رغم اكتشاف الثغرة في 2018، لم تكن هناك مؤشرات معلنة على استغلال ميداني حتى إضافتها الآن في KEV. وكان استغلالها يتطلب وقتها أنظمة مزودة بذاكرة لا تقل عن 32GB، وهو ما يقلل من انتشارها لكنه لا ينفي خطورتها كمسار لما بعد الاختراق.
ثغرات أخرى أضيفت للتحديث
شمل التحديث أيضاً:
- ثغرتين في SmarterTools SmarterMail: الأولى (CVE-2025-52691) تتعلق برفع ملفات خطيرة بدون قيود، والثانية (CVE-2026-23760) تتيح تجاوز المصادقة أو إعادة تعيين كلمات المرور عبر API.
- ثغرة في Microsoft Office (CVE-2026-21509) تتعلق بتجاوز ميزة أمنية، مع تنبيه إلى أنها قد تؤثر على منتجات خارج الدعم، ما يستوجب التحديث أو وقف الاستخدام.
مسارات التهديد وتوصيات دفاعية
تصنف ثغرة Telnetd ضمن مسارات الدخول الأولي، نظراً لإمكانية استغلالها عن بُعد دون بيانات اعتماد، في حين تمثل ثغرة نواة Linux تهديداً لما بعد الدخول، عبر رفع الامتيازات محلياً. وتشمل الإجراءات الموصى بها:
- تعطيل Telnet واستبداله بـSSH.
- تحديث GNU Inetutils لإزالة الثغرة.
- مراجعة وتقييد استخدام ملفات SUID في Linux.
- اعتماد موعد 16 فبراير كحد زمني ملزم لتحديث الأنظمة المتأثرة.
