أصدرت وكالة الأمن السيبراني والبنية التحتية الأميركية CISA في 14 أكتوبر 2025 تحذيراً عاجلاً وحاسماً بخصوص ثغرة حرجة ومُستغلة فعلياً في أداة Velociraptor، وهي منصة مفتوحة المصدر تابعة لشركة Rapid7 ومُخصصة لكشف والاستجابة لنقاط النهاية EDR .
تنشأ هذه الثغرة من إعدادات أذونات افتراضية غير سليمة، ما أتاح لجهات التهديد تنفيذ أوامر تعسفية واكتساب سيطرة كاملة على الأجهزة المصابة. يضاعف هذا الخلل من المخاطر التي تواجه المؤسسات التي تعتمد على هذه الأداة المفتوحة المصدر لجمع وتحليل الأدلة الرقمية.
أوضحت الوكالة، ضمن كتالوج الثغرات المعروفة والمستغلة KEV، أن استغلال الثغرة يتطلب وصولاً أولياً إلى الجهاز المستهدف، لكنه يمكن من السيطرة الكلية عليه بعد الإجراء الأولي. سجلت الثغرة تحت الرمز CVE-2025-6264، وتكمن خطورتها في ضعف إدارة الأذونات الافتراضية، ما يجعلها نموذجاً كلاسيكياً لخطر سوء الإعداد الافتراضي.
اعترفت Rapid7 بهذه المشكلة في تنبيه أمني حديث، وحثت المستخدمين على تحديث الأداة فوراً إلى الإصدار 0.7.1 أو ما يليه، حيث تم تطبيق ضوابط أكثر صرامة للأذونات للحد من احتمالية الاستغلال.
استغلال فعلي في حملات فدية واسعة
أشارت التقارير الميدانية إلى استغلال الثغرة بالفعل ضمن هجمات فدية واسعة النطاق نفذتها مجموعات مرتبطة بإصدارات مثل LockBit وConti. استغل المهاجمون هذه الثغرة للارتقاء بامتيازاتهم، والانتقال من مجرد موطئ قدم أولي إلى السيطرة الكاملة على الشبكات، ما أسفر عن إصابات جماعية داخل المؤسسات المستهدفة.
أفاد باحثون في Mandiant بأنهم وثقوا حالات استخدم فيها المهاجمون ميزات جمع الأدلة المتأصلة في Velociraptor نفسها لحقن برمجيات خبيثة مصممة بذكاء لتفادي أنظمة الكشف التقليدية.
في حادثة موثقة وقعت أواخر سبتمبر 2025، فقدت مؤسسة مالية متوسطة الحجم قدرتها على رصد نقاط النهاية بشكل كامل بعد أن سيطر مشغلو الفدية على الأداة. أدى هذا الاختراق إلى تسريب بيانات وتشفير ما يزيد عن 500 جهاز.
يعكس ذلك اتجاهاً متنامياً لدى المهاجمين لاستهداف أدوات الأمن ذاتها. فاختراق منصات الحماية، مثل Velociraptor، يؤدي بشكل مباشر إلى تعطيل الدفاعات ومنح الخصوم ميزة استخباراتية حاسمة داخل بيئات العمل.
المخاطر والإجراءات المطلوبة
شددت CISA على أن الأنظمة غير المحدثة تواجه مخاطر مرتفعة للغاية، خاصة في قطاعات الرعاية الصحية والبنى التحتية الحساسة التي تعتمد بشكل كبير على مراقبة الأجهزة الطرفية.
أوصت الوكالة بتطبيق تصحيحات Rapid7 بسرعة، وتقييد صلاحيات جمع الأدلة لتكون عند الحد الأدنى الضروري، والالتزام الصارم بتوجيه BOD 22-01 الخاص بخدمات السحابة. كما نصحت بضرورة وقف استخدام الأداة مؤقتاً إذا تعذرت تطبيق إجراءات التخفيف. وحددت الوكالة تاريخ 4 نوفمبر 2025 كآخر موعد للوكالات الفيدرالية لمعالجة الثغرة، مما يؤكد مدى خطورتها القصوى.
أشار خبراء أمنيون إلى أن هذا الاستغلال يبرز الجانب المزدوج لأدوات المصادر المفتوحة؛ فهي تمنح قدرات قوية، لكنها في ذات الوقت تكون عرضة للأخطاء في الإعدادات الأمنية. ومع التطور المستمر لبرمجيات الفدية التي تدمج بين الهندسة الاجتماعية والاستغلالات التقنية، أصبح التدقيق المنتظم في الأذونات ضرورة دفاعية ملحة.
أكدت Rapid7 أنها نشرت دليلاً تفصيلياً لتقوية إعدادات الأمان الخاصة بـ Velociraptor، إلا أن المراقبة الاستباقية تظل العامل الحاسم في الدفاع. ومع ارتفاع معدل الهجمات بنسبة 30% على أساس سنوي، يمثل تحذير CISA الأخير دعوة لـ تعزيز أمن الأدوات الدفاعية ذاتها قبل أن تتحول إلى ثغرات للاختراق.
