أطلقت شركة SolarWinds تحديثاً أمنياً طارئاً لسلسلة برنامج نقل الملفات Serv-U 15.5، بهدف معالجة 4 ثغرات أمنية صنفت بدرجة خطورة حرجة بلغت 9.1 وفق مقياس CVSS العالمي. ويأتي هذا التحديث، الذي يحمل الرقم Serv-U 15.5.4، ليتصدى لمخاطر محتملة تسمح للمهاجمين بتنفيذ برمجيات خبيثة عن بعد بصلاحيات نظام مرتفعة.
وتشترط هذه الثغرات وجود امتيازات إدارية مسبقة لإتمام عملية الاستغلال، وهو ما يضع المؤسسات أمام تحدي حماية بيانات اعتماد المسؤولين، حيث يتطلب الهجوم الناجح اختراق حساب إداري، أو استغلال صلاحيات داخلية، أو تنفيذ سلسلة هجمات تهدف إلى تصعيد الامتيازات.
تتوزع العيوب البرمجية المكتشفة على عدة فئات تقنية، إذ ترتبط الثغرة الأولى CVE-2025-40538 بخلل في ضوابط التحكم بالوصول، وهي تتيح إنشاء مستخدم بمرتبة مدير نظام ثم تنفيذ أوامر برمجية عبر امتيازات مدير النطاق.
وتندرج الثغرتان CVE-2025-40539 وCVE-2025-40540 تحت فئة تضارب الأنواع (Type Confusion)، التي تسمح بتشغيل شيفرات أصلية بصلاحيات حسابات مميزة. أما الثغرة الرابعة CVE-2025-40541، فتعود إلى خلل في المرجع المباشر للكائنات غير الآمن (IDOR)، وهو نوع من الثغرات يحدث عند وصول المستخدم إلى ملفات أو سجلات لا يملك حق الوصول إليها، وتؤدي في هذه الحالة أيضاً إلى تنفيذ أوامر برمجية بصلاحيات مرتفعة.
تقييم المخاطر التشغيلية وانكشاف الخوادم
أشارت التقارير التقنية إلى تباين في مستويات الخطر بناء على بيئة التشغيل، حيث اعتبرت SolarWinds أن الأنظمة التي تعتمد على Windows تواجه خطراً متوسطاً نظراً لأن الخدمات تعمل غالباً بحسابات ذات امتيازات محدودة افتراضياً. وفي المقابل، تزداد الحساسية في بيئات Unix وLinux نتيجة احتمالية عمل الخدمات بصلاحيات أعلى وفقاً لإعدادات النظام.
وتتفاقم هذه المخاطر عند اتصال خوادم نقل الملفات بشبكة الإنترنت بشكل مباشر، إذ ترصد منصات المسح الأمني مثل Shodan وShadowserver آلاف الخوادم المكشوفة عالمياً، وتتراوح التقديرات بين 1200 و12 ألف خادم، وهو تفاوت يؤكد في كلتا الحالتين اتساع مساحة الهجوم المحتملة عند اقتران الظهور الشبكي بإدارة ضعيفة للصلاحيات.
وعلى الرغم من غياب الأدلة على استغلال نشط لهذه الثغرات الأربع حتى تاريخ صدور التقرير، فإن السجل التاريخي لبرنامج Serv-U يتضمن حوادث استغلال سابقة لثغرات مثل CVE-2021-35211 وCVE-2024-28995. وتدفع هذه السوابق بضرورة التعامل مع التحديث الأخير كأولوية قصوى ضمن استراتيجيات الدفاع السيبراني للمؤسسات، خاصة وأن برمجيات نقل الملفات تظل هدفاً مفضلاً لحملات التسلل المنظمة التي تسعى للوصول إلى عمق الشبكات الداخلية.
تدابير الوقاية والتحصين التقني
تتمثل الخطوة الإجرائية الأولى في الترقية الفورية إلى الإصدار Serv-U 15.5.4 لضمان سد الفجوات البرمجية المكتشفة. وبالنظر إلى اعتماد الثغرات على الامتيازات العالية، تبرز أهمية تطبيق مبدأ الصلاحيات الأقل عبر حصر أدوار مدراء النطاق والمجموعات في أضيق نطاق ممكن. وتتضمن التوصيات العملية مراجعة شاملة لكافة حسابات الإدارة داخل المنصة، وإلغاء الحسابات غير الضرورية، مع فرض التحقق متعدد العوامل (MFA) وتطبيق سياسات صارمة لتدوير كلمات المرور بصفة دورية.
وعلى الصعيد الشبكي، يوصى بحجب واجهات الإدارة عن الوصول العام عبر الإنترنت وتقييدها من خلال شبكات افتراضية خاصة (VPN) أو قوائم السماح. كما يسهم عزل خوادم نقل الملفات عن أجزاء الشبكة الحساسة في تقليص أثر أي اختراق محتمل. وتعتمد فاعلية الرصد التشغيلي في هذه المرحلة على تتبع أي عمليات إنشاء مستخدمين إداريين غير معتادين، أو ملاحظة تغييرات مفاجئة في إعدادات المجموعات، بالإضافة إلى مراقبة أي سلوك غير مألوف لتنفيذ الأوامر الصادرة من الحسابات المميزة كإجراء احترازي لضمان سلامة البيئة التقنية.
