كشفت شركة Dell عن وجود ثغرة أمنية حرجة من نوع يوم صفر (0-day) في نظام RecoverPoint for Virtual Machines، مؤكدة رصد استغلال محدود لهذه الفجوة منذ منتصف عام 2024. وتسمح هذه الثغرة للمهاجمين بالنفاد إلى الأنظمة عن بُعد دون الحاجة إلى صلاحيات دخول، ومن ثم السيطرة الكاملة على الخوادم المتأثرة.
وجاء الإعلان عقب تقارير فنية رفعتها مجموعتا Google Threat Intelligence Group وMandiant، اللتان تتبعتا نشاطاً تخريبياً مرتبطاً بهذه الثغرة يمتد أثره حتى عام 2025، ما استدعى إصدار تصحيحات برمجية عاجلة لسد الخلل الذي يمنح المهاجمين صلاحيات جذر (root) داخل البيئات الافتراضية.
طبيعة الخلل التقني
وفقاً للبيانات الصادرة عن Dell وشركائها الأمنيين، تحمل الثغرة المعرف CVE-2026-22769، وحصلت على تقييم خطورة بنسبة 10/10 وفق مقياس CVSS، وهو أعلى مؤشر للتهديدات السيبرانية. وتكمن المشكلة الأساسية في وجود بيانات اعتماد مدمجة وثابتة ضمن إعدادات Apache Tomcat Manager في المنتج.
ويعني هذا النوع من الخلل أن النظام يحتوي على أسماء مستخدمين وكلمات مرور مخزنة مسبقاً في الشفرة البرمجية، تتيح لأي طرف خارجي يمتلك هذه المعلومات الدخول إلى النظام دون عناء المصادقة التقليدية. وبمجرد الدخول، يرفع المهاجم ملفات خبيثة من نوع WAR عبر نقاط الوصول الفنية، ما يؤدي في نهاية المطاف إلى زرع برمجيات تضمن بقاء المهاجم داخل النظام حتى بعد إعادة تشغيل الجهاز.
رصد ميداني وتحركات سيبرانية
تربط التحقيقات التي أجرتها Mandiant النشاط التخريبي بجهة تهديد تعرف باسم UNC6201، مع وجود تقاطعات فنية مع مجموعة يطلق عليها Silk Typhoon (أو UNC5221). وأظهرت الأدلة الجنائية الرقمية أن المهاجمين استخدموا أدوات متطورة شملت:
- SLAYSTYLE: واجهة تحكم خبيثة (Web Shell) تتيح إدارة النظام المخترق عبر المتصفح.
- BRICKSTORM: عائلة برمجيات تستخدم لتعزيز الوجود داخل الشبكة.
- GRIMBOLT: باب خلفي متطور رُصد في سبتمبر 2025، يتميز بقدرته على التخفي عبر تقنيات ضغط متقدمة.
وعمل المهاجمون على ضمان استمراريتهم داخل الأنظمة المستهدفة من خلال تعديل ملفات الإقلاع الأساسية (مثل convert_hosts.sh)، لضمان تنفيذ الأوامر الضارة تلقائياً في كل مرة يعمل فيها النظام.
المسارات الوقائية والإصدارات المتأثرة
أوضحت Dell أن الإصدارات الأقدم من 6.0.3.1 HF1 تعد عرضة للاختراق، وحثت المؤسسات على اتخاذ أحد مسارين للمعالجة:
- الترقية الفورية إلى الإصدار 6.0.3.1 HF1.
- تطبيق نص برمجى وقائي وفرته الشركة ضمن النشرة الأمنية DSA-2026-079.
وشددت الشركة على ضرورة عزل هذه الأنظمة داخل شبكات داخلية موثوقة، محذرة من أن ربط هذه الخدمات بشبكة الإنترنت العامة يرفع احتمالات الاستغلال ويجعل السيطرة على الأضرار أمراً بالغ الصعوبة.
توصيات للتحقق الفني
للمتخصصين في أمن المعلومات، أوصت التقارير بضرورة فحص سجلات خادم Tomcat بدقة، والبحث عن أي طلبات غير معتادة لرفع ملفات عبر مسارات محددة مثل /manager/text/deploy. كما دعت إلى مراقبة أي تغييرات تطرأ على ملفات النظام المسؤولة عن بدء التشغيل، والتي قد تكون مؤشراً على وجود نشاط معادي كامن.
