أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA)، أمس الاثنين، إدراج أربع ثغرات أمنية حرجة ضمن قائمة الثغرات المعروفة التي يتم استغلالها فعلياً (KEV)، استناداً إلى دلائل على حدوث استغلال نشط لها في بيئات التشغيل الحقيقية.
وتشمل القائمة الجديدة الثغرات التالية:
- CVE-2014-3931 (درجة الخطورة 9.8): ثغرة تدفق مكدس (Buffer Overflow) في أداة Multi-Router Looking Glass، تتيح للمهاجمين عن بُعد تنفيذ عمليات كتابة غير مصرح بها في الذاكرة وإحداث تلف فيها.
- CVE-2016-10033 (درجة الخطورة 9.8): ثغرة حقن أوامر (Command Injection) في مكتبة PHPMailer، تتيح تنفيذ تعليمات برمجية عشوائية ضمن سياق التطبيق، أو التسبب في حالة حجب الخدمة (DoS).
- CVE-2019-5418 (درجة الخطورة 7.5): ثغرة تجاوز المسار (Path Traversal) في مكتبة Action View التابعة لإطار عمل Ruby on Rails، تسمح بكشف محتويات ملفات عشوائية على نظام الملفات في الجهاز المستهدف.
- CVE-2019-9621 (درجة الخطورة 7.5): ثغرة تزوير طلبات جهة الخادم (SSRF) في منصة Zimbra Collaboration Suite، قد تؤدي إلى الوصول غير المصرح به إلى الموارد الداخلية وتنفيذ تعليمات برمجية عن بُعد.
حتى الآن، لا توجد تقارير علنية توضح كيفية استغلال الثغرات الثلاث الأولى، بينما تُعزى استغلال الثغرة الرابعة (CVE-2019-9621) إلى جهة تهديد مرتبطة بالصين تُعرف باسم «Earth Lusca»، والتي استخدمتها في سبتمبر 2023 لنشر أدوات تحكم عن بُعد مثل «ويب شيل» و«Cobalt Strike».
وفي ظل الاستغلال النشط، أوصت الوكالة الأميركية الجهات الفيدرالية المدنية بضرورة تطبيق التحديثات الأمنية قبل 28 يوليو الحالي لتأمين شبكاتها.
«نزيف سيتريكس 2»… تفاصيل جديدة عن ثغرة حرجة
في تطور آخر، كشفت مختبرات watchTowr وشركة Horizon3.ai عن تحليلات فنية لثغرة أمنية حرجة في نظام Citrix NetScaler ADC، تحمل الرمز CVE-2025-5777 وتُعرف باسم «Citrix Bleed 2». ويُعتقد أنها تتعرض لاستغلال نشط حالياً، إلى جانب ثغرة أخرى مماثلة (CVE-2025-6543).
وقال الرئيس التنفيذي لـ watchTowr، بنجامين هاريس، لموقع «The Hacker News»: «نشهد حالياً استغلالاً نشطاً لكلتا الثغرتين. وتسمح الثغرة للمهاجمين بقراءة محتوى الذاكرة، مما يتيح لهم الوصول إلى معلومات حساسة مثل بيانات الاعتماد ورموز الجلسات النشطة الخاصة بـ Citrix».
وأوضحت الشركة أنه يمكن إرسال طلب تسجيل دخول إلى المسار «/p/u/doAuthentication.do»، مما يؤدي إلى عكس القيمة المدخلة في الاستجابة، سواء نجح الطلب أو فشل.
وأضافت Horizon3.ai أن الهجوم يُنفذ من خلال طلب HTTP معدل يحتوي على سلسلة «login=» دون قيمة، ما يسمح بتسريب نحو 127 بايتاً من البيانات الحساسة في كل مرة.
وبحسب watchTowr، فإن السبب الجذري يكمن في استخدام دالة snprintf مع سلسلة تنسيق من نوع “%.*s”، والتي تقوم بطباعة عدد معين من الأحرف حتى أول رمز إنهاء (Null Byte)، مما يؤدي إلى كشف أجزاء من الذاكرة غير المهيّأة في كل مرة يُرسل فيها الطلب، ويمكن استغلال هذه الآلية بشكل متكرر للوصول إلى معلومات بالغة الحساسية.
