كشفت شركة مايكروسوفت عن ثغرة أمنية فائقة الخطورة ضمن إطار العمل ASP.NET Core، تسمح للمهاجمين بـتجاوز آليات الحماية في تطبيقات الويب. ترتبط هذه الثغرة، التي جرى توثيقها بتاريخ 24 أكتوبر 2025 تحت المعرف CVE-2025-55315، بنمط هجوم يعرف بـHTTP Request Smuggling (تهريب طلبات HTTP)، وتشكل تهديداً للأنظمة التي تعتمد على مكونات NET. غير المحدثة.
في سياق متصل، وجهت شركة QNAP، الرائدة في توفير حلول التخزين الشبكي، تحذيراً عاجلاً لمستخدميها، مشيرة إلى أن برامج النسخ الاحتياطي الخاصة بها، وتحديداً برنامج NetBak PC Agent، قد تكون عرضة للاستغلال في حال عدم تطبيق التحديثات. وشددت الشركة على ضرورة التحديث فوراً لتفادي أي محاولات اختراق محتملة.
تكمن خطورة الثغرة في أنها تتيح للمهاجمين، الذين يمتلكون صلاحيات تسجيل دخول صالحة، إمكانية إرسال طلبات HTTP مصممة بأسلوب خبيث لتتخطى ضوابط المصادقة والتفويض. هذا الاختراق قد يؤول إلى الوصول غير المصرح به إلى بيانات حساسة أو تعديل ملفات على الخوادم أو حتى تعطيل جزئي للخدمات التشغيلية.
ورغم تصنيف مايكروسوفت للثغرة ضمن فئة الخطورة بدرجة 7.5، إلا أن تداعياتها تمتد لتطال منظومة QNAP؛ ويعود ذلك لاعتماد برنامج NetBak PC Agent بشكل أساسي على مكونات ASP.NET Core أثناء عملية التثبيت.
التحديثات الأمنية العاجلة ومخاطر عدم تطبيقها
يثبت برنامج NetBak PC Agent، المستخدم لإنشاء نسخ احتياطية لبيانات أجهزة Windows ونقلها إلى أجهزة QNAP NAS، بيئة تشغيل ASP.NET Core. إذا لم يتم تحديث النظام لاحقاً، تظل الثغرة مكشوفة ومتاحة للاستغلال الفعلي.
تستغل الثغرة عيوباً في آلية تفسير الطلبات الشبكية، ما يسمح للمهاجم بحقن أوامر خفية تتجاوز طبقات الحماية. وأكدت QNAP أن الإصدارات غير المحدثة من NetBak PC Agent على أنظمة Windows تقع ضمن نطاق التهديد المباشر، خصوصاً تلك التي تحتوي على إصدار ASP.NET Core أقل من 8.0.21.
وبالرغم من أن الهجوم يتطلب مبدئياً وصولاً مصادقاً عليه، فإن القلق الفعلي يتمحور حول إمكانية استغلال حسابات جرى الاستيلاء عليها مسبقاً لتنفيذ أنشطة خبيثة، تشمل تسريب البيانات أو التلاعب بها.
أوضحت مايكروسوفت أن التحديث الأمني الأخير قد أصلح الخلل في آلية تحليل الطلبات داخل الإطار، لكنها نبهت مستخدمي QNAP إلى ضرورة التحقق من التوافق الكامل مع الإصدار الجديد لتفادي أي تعارضات تشغيلية محتملة.
خطوات الوقاية الموصى بها من QNAP
حثت QNAP المستخدمين على التأكد من تحديث أنظمتهم فوراً. وأوصت بإلغاء تثبيت النسخة الحالية من NetBak PC Agent عبر إعدادات Windows (التطبيقات > التطبيقات المثبتة) ثم تحميل النسخة الأحدث من موقع QNAP الرسمي.
تتضمن عملية التثبيت الجديدة بيئة ASP.NET Core 8.0.21 المحدثة تلقائياً. كما يمكن للمستخدمين الذين يفضلون التحديث اليدوي تنزيل أحدث حزمة ASP.NET Core Runtime Hosting Bundle من موقع dotnet.microsoft.com، ثم إعادة تشغيل النظام لتفعيل التغييرات.
ونصحت الشركة بمراقبة الأنشطة الشبكية غير المعتادة وتفعيل المصادقة متعددة العوامل على أجهزة NAS، مؤكدة أن الحماية الوقائية والرقابة المستمرة عنصران حاسمان في مواجهة التهديدات الحديثة.
تسلط هذه الحادثة الضوء على المخاطر المترابطة في سلاسل توريد البرمجيات، وتؤكد أهمية تطبيق التحديثات الدورية للحفاظ على استقرار وأمن الأنظمة الرقمية.
