أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) عن تحديث جديد لقائمة الثغرات المستغلة فعلياً (KEV)، بإضافة 4 ثغرات أمنية حرجة ترتبط بمنتجات تقنية واسعة الانتشار. وتشمل هذه الإضافات ثغرتين في منصة SimpleHelp للإدارة عن بُعد، وثغرة في خادم Samsung MagicINFO 9 المخصص لإدارة المحتوى الرقمي، بالإضافة إلى ثغرة رابعة في موجّهات D-Link DIR-823X.
وتأتي هذه الخطوة بناء على أدلة واقعية تؤكد استغلال هذه الثغرات في هجمات نشطة؛ حيث ألزمت الوكالة الجهات الفيدرالية المدنية في الولايات المتحدة بإتمام إجراءات المعالجة قبل تاريخ 8 مايو 2026. وتضمنت التوجيهات ضرورة إيقاف تشغيل الأجهزة المتأثرة التي بلغت نهاية عمرها التشغيلي، نظراً لتوقف الشركات المصنعة عن تزويدها بالتحديثات الأمنية اللازمة.
تفاصيل العيوب التقنية وآليات الاستغلال المرصودة
ترتبط الثغرتان (CVE-2024-57726 بتقييم CVSS عند 9.9) و(CVE-2024-57728 بتقييم CVSS عند 7.2) بمنصة SimpleHelp؛ حيث تتعلق الأولى بإمكانية تصعيد الصلاحيات عبر إنشاء مفاتيح واجهة برمجة التطبيقات (API) بامتيازات عالية، في حين تندرج الثانية تحت فئة اجتياز المسار التي تسمح برفع ملفات عشوائية وتنفيذ برمجيات خبيثة على الخادم.
وفي سياق متصل، تبرز الثغرة (CVE-2024-7399 بتقييم CVSS عند 8.8) في خادم Samsung MagicINFO 9 كخلل يتيح اجتياز المسار وكتابة الملفات بصلاحيات النظام. أما الثغرة (CVE-2025-29635 بتقييم CVSS عند 7.2) المكتشفة في أجهزة D-Link DIR-823X، فهي ترتبط بحقن الأوامر البرمجية.
وتستند وكالة CISA في إدراج هذه العيوب إلى معايير صارمة تتطلب وجود استغلال حقيقي وموثق، حيث تعمل قائمة KEV كمرجع أساسي لتحديد أولويات إدارة المخاطر وفقاً للتوجيه التشغيلي الملزم BOD 22-01.
الارتباط بحملات الفدية وشبكات البوت نت العالمية
كشفت التقارير الأمنية عن استغلال ثغرات SimpleHelp في هجمات استهدفت مزودي الخدمات المدارة (MSP)، حيث نُسبت هذه العمليات إلى جهات مرتبطة ببرمجية الفدية DragonForce بهدف الوصول إلى بيئات العملاء وتشفير بياناتهم. وبخصوص ثغرة Samsung، فقد أكدت البيانات أن الإصدارات التي تسبق النسخة 21.1050.0 تعاني من خلل في التحقق من مسارات رفع الملفات، مع ربط هذا النشاط بحملات تعتمد على شبكة البوت نت Mirai.
وفيما يخص أجهزة D-Link، رصدت شركة Akamai محاولات استغلال منذ مارس 2026 لضم هذه الأجهزة إلى نسخة من Mirai، تعرف باسم tuxnokill. ويؤكد هذا المشهد ضرورة اعتماد استراتيجيات فورية لاستبدال الأصول المتقادمة أو تحديثها؛ إذ يمثل الاستغلال الفعلي وتقادم الأجهزة المؤشرين الأهم في تقييم مستوى التهديدات السيبرانية الحديثة.
