استغلال نشط لثغرة Adobe ColdFusion الحرج بعد ساعات من كشفها

رصد استغلال نشط للثغرة CVE-2026-48282 في خوادم Adobe ColdFusion

استغلال نشط لثغرة Adobe ColdFusion الحرج بعد ساعات من كشفها
مهاجمون يستغلون ثغرة تجاوز المسار بـ Adobe ColdFusion وسط توصيات أمنية بضرورة التحديث الفوري للخوادم المتأثرة.

في تطور يبرز التسارع الملحوظ في وتيرة الهجمات السيبرانية التي تعقب الكشف عن الثغرات البرمجية، رصد خبراء الأمن السيبراني عمليات استغلال نشطة للثغرة الأمنية الحرجة (CVE-2026-48282 بتقييم CVSS عند 10.0) التي تستهدف منصة تطوير التطبيقات Adobe ColdFusion، وذلك بعد مضي ساعات معدودة على نشر التفاصيل الفنية الخاصة بآلية عملها. 

أوضحت خدمة الاستخبارات السيبرانية KEVIntel أن أنظمتها الاستشعارية سجلت محاولات اختراق فعلية يوم الأربعاء 2 يوليو 2026، وجاء هذا الرصد متزامناً مع طرح باحثي شركة watchTowr تحليلاً تقنياً مفصلاً للثغرة، والتي كانت شركة Adobe قد أصدرت لها حزمة إصلاحية في 30 يونيو الماضي.

وكانت الشركة قد أتاحت التحديثين ColdFusion 2025 Update 10 وColdFusion 2023 Update 21 لمعالجة هذه الثغرة، إلى جانب تسع ثغرات أمنية أخرى تتسم بالخطورة، دون أن تشير آنذاك إلى وجود أي مؤشرات لاستغلالها في بيئات العمل الحقيقية. ومع ذلك، فإن استجابة المهاجمين السريعة، والتي قدرت KEVIntel مدتها بنحو ساعتين فقط، تسلط الضوء على تضاؤل الهامش الزمني المتاح للمؤسسات لتقييم التحديثات واختبارها وتطبيقها قبل تحول الثغرات إلى تهديد حقيقي ومباشر.

تكمن خطورة هذه الثغرة في سماحها لمهاجم غير مصرح له، عبر إرسال طلب HTTP مهيأ بدقة، برفع ملفات خبيثة إلى مسارات يمكن الوصول إليها من خلال خادم الويب، وتنفيذ أوامر برمجية عشوائية بصلاحيات المستخدم الحالي، وفرض سيطرة كاملة على النظام المتأثر. 

وترتبط الثغرة مباشرة بميزة خدمات التطوير عن بُعد Remote Development Services (RDS) في ColdFusion، وهي خاصية لا تكون نشطة بشكل افتراضي، وتُستخدم لتمكين بيئات التطوير مثل ColdFusion Builder وDreamweaver من التواصل مع الخادم عبر بروتوكول HTTP لاستعراض الملفات وتنفيذ استعلامات قواعد البيانات.

ومع ذلك، فإن نجاح الهجوم مشروط بتفعيل خدمة RDS على الخادم مع إلغاء تفعيل خاصية المصادقة عليها، وهو نمط إعداد لا يتطابق مع الإعدادات الافتراضية القياسية. وبناء على ذلك، يتوقع الباحثون أن يكون النطاق الإجمالي لهذه الهجمات محدوداً مقارنة بالثغرات الهيكلية الأخرى التي لا تتطلب شروطاً تشغيلية مسبقة، برغم رصد مؤسسة Shadowserver لنحو 800 خادم ColdFusion متصل بشبكة الإنترنت العامة، دون وجود إحصائية دقيقة لعدد الأنظمة التي تتوفر فيها تلك الشروط المحددة للاستهداف.

وبالتوازي مع المؤشرات الصادرة عن KEVIntel، أكد باحثو شركة Resecurity والمركز الكندي للأمن السيبراني رصدهم لعمليات استغلال نشطة، إذ نشرت Resecurity معلومات فنية إضافية تسهم في دعم فرق الدفاع السيبراني، ومساعدة المهاجمين في الوقت ذاته على تطوير أدوات الاختراق. وتوضح هذه المصادر أن منصات Adobe ColdFusion تمثل هدفاً دائماً للهجمات؛ حيث أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) سابقاً 79 ثغرة في منتجات Adobe ضمن قائمة الثغرات المستغلة في الهجمات الفعلية، وظف المهاجمون 10 ثغرات منها في تنفيذ هجمات برمجيات الفدية.

وتحث الإرشادات التقنية مسؤولي الأنظمة والشبكات على التعجيل بتطبيق التحديثات الأمنية الصادرة في 30 يونيو، والبدء فوراً في فحص السجلات والأدلة الرقمية للتحقق من عدم وجود أي ملفات مشبوهة أو غير مصرح بها داخل مجلدات الجذر الخاصة بمواقع ColdFusion ومجلدات /CFIDE/، لاسيما إذا كانت تلك الخوادم متصلة بالإنترنت خلال الأسبوع الأخير. 

الموثوقة والمعتمدة لدى خبراء الأمن السيبراني

تقرأ في نشرتنا التي تصلك كل أسبوع:

  • أحدث أخبار ومستجدات الأمن السيبراني محليًا وعالميًا.
  • تحليلات وتقارير دقيقة يقدمها خبراء المجال.
  • نصائح عملية لتطوير استراتيجياتك السيبرانية.
  • مراجعات شاملة لأهم الأحداث والتطورات التقنية
اذهب إلى الأعلى