أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) أربع ثغرات أمنية جديدة ضمن كتالوج الثغرات المعروفة المستغلة (KEV)، إثر رصد أدلة قاطعة على استخدامها في هجمات واقعية خارج بيئات المختبرات التقنية. وأصدرت الوكالة توجيهات صارمة للجهات الفيدرالية المدنية بضرورة إغلاق هذه الثغرات في موعد أقصاه 10 مارس 2026.
ويعد إدراج أي ثغرة في هذه القائمة مؤشراً عملياتياً على وجود محاولات اختراق نشطة، الأمر الذي يضعها على رأس أولويات فرق تقنية المعلومات، بخلاف الثغرات التي يعلن عنها دون وجود مؤشرات استغلال ميداني.
خارطة التهديدات: تفاصيل الثغرات الأربع المستهدفة
تتوزع الثغرات الجديدة على منتجات برمجية واسعة الانتشار، وتتفاوت خطورتها التقنية وفقاً للمعايير الدولية، وهي كالتالي:
| المنتج المتأثر | معرف الثغرة | درجة الخطورة (CVSS) | طبيعة التهديد |
|---|---|---|---|
| Google Chrome | CVE-2026-2441 | 8.8 | تلف الذاكرة وتجاوز نطاق العزل (Sandbox). |
| Zimbra ZCS | CVE-2020-7796 | 9.8 | وصول غير مصرح به للموارد الداخلية (SSRF). |
| ThreatSonar | CVE-2024-7694 | 7.2 | رفع ملفات خبيثة وتشغيلها عبر واجهة الإدارة. |
| Windows Video | CVE-2008-0015 | 8.8 | تنفيذ أوامر عن بُعد عبر مكونات ActiveX قديمة. |
1. ثغرة متصفح Google Chrome
تندرج تحت فئة Use-After-Free داخل مكون CSS. وتحدث هذه المشكلة حين يستمر البرنامج في استخدام مساحة في الذاكرة بعد إفراغها، ما يفتح ثغرة للمهاجم للتلاعب بسلوك المتصفح. وعبر صفحة HTML خبيثة، يمكن دفع النظام إلى حالة “تلف الذاكرة” التي تسمح بتنفيذ برمجيات خبيثة حتى مع وجود طبقات الحماية الافتراضية.
2. منصة TeamT5 ThreatSonar Anti-Ransomware
تسمح الثغرة برفع ملفات عشوائية في الإصدارات حتى 3.4.5. وتكمن الخطورة في إمكانية زرع ملف خبيث في الخادم وتشغيله لاحقاً. وتطلب هذه العملية امتلاك المهاجم لصلاحيات إدارية، وهو ما يبرز أهمية حماية حسابات المسؤولين وتقييد الوصول للوحة التحكم.
3. حزمة Synacor Zimbra Collaboration Suite (ZCS)
تصنف ضمن نمط SSRF، وهو أسلوب يخدع الخادم لإرسال طلبات HTTP نيابة عن المهاجم. ويؤدي ذلك للوصول إلى بيانات داخلية غير معلنة للإنترنت. وترتبط الثغرة بوجود WebEx zimlet مفعل مع zimlet JSP، وقد وفرت الشركة الإصلاح في نسخة ZCS 8.8.15 Patch 7.
4. مكون Microsoft Windows Video ActiveX Control
ثغرة قديمة من نوع “فيض الذاكرة”، تتيح تنفيذ تعليمات برمجية عن بُعد بمجرد زيارة المستخدم لصفحة ويب ضارة. وترتبط هذه الثغرة تاريخياً ببرمجيات خبيثة تستهدف الأنظمة التي لم تتلق التحديثات الأمنية اللازمة.
أبعاد أمنية: خطر الثغرات المنسية وعودة الاستغلال النشط
يؤكد تحديث قائمة (KEV) أن التهديد تجاوز الاحتمالات النظرية إلى التنفيذ الفعلي. ويسلط هذا الإجراء الضوء على مخاطر بقاء المكونات القديمة أو الإعدادات المتقادمة داخل الشبكات، خاصة تلك التي تعتمد على تقنيات توقف دعمها أو يصعب تحديثها دورياً. وتتمثل تفاصيل الاستغلال المرصودة:
- Google Chrome: أكدت الشركة وجود استغلال فعلي، مع التكتم على تفاصيل الهجوم لضمان سرعة انتشار التحديثات الأمنية عالمياً.
- Zimbra: رصدت تقارير في مارس 2025 هجمات منسقة شملت 400 عنوان IP استهدفت هذا النوع من الثغرات بشكل متوازٍ.
- Windows: تظل الثغرة القديمة (تاريخ إصدارها 2008) فعالة في البيئات التي لا تزال تسمح بتشغيل تقنيات ActiveX المتجاوزة.
تدابير وقائية: خطة الاستجابة المقترحة
تتطلب مواجهة هذه التهديدات خطوات تقنية محددة لكل منتج لضمان سلامة البنية التحتية:
- لمستخدمي Chrome: وجوب تحديث المتصفح للإصدار الأخير، وفرض سياسة إعادة تشغيله لضمان تفعيل الإصلاح التقني.
- لمستخدمي ThreatSonar: تقييد الوصول لواجهة الإدارة لتكون عبر شبكات موثوقة فقط، وتحديث المنصة للإصدارات الآمنة.
- لمستخدمي Zimbra: التحقق من تثبيت Patch 7 للإصدار 8.8.15 كحد أدنى، ومراجعة إعدادات zimlet بدقة.
- لمستخدمي Windows: تعطيل مكونات ActiveX القديمة فوراً وتطبيق تحديثات Microsoft المرجعية الكفيلة بصد الهجوم.
