كشف خبراء الأمن السيبراني عن هجوم معقد يستهدف خوادم فيم وير (VMware ESXi)، حيث يستغل قراصنة مرتبطون بالصين ثغرات يوم الصفر للهروب من البيئات الافتراضية والسيطرة على الأنظمة المضيفة بشكل كامل.
وقد رصدت شركة Huntress الأمنية هذا النشاط الخبيث في ديسمبر 2025، مشيرة إلى أن المهاجمين استخدموا أجهزة سونيك وول (SonicWall) المخترقة كنقطة دخول أولية لتنفيذ هجماتهم، مما يهدد بانتشار برمجيات الفدية في الشبكات الحساسة.
ما هي الثغرات التي يستغلها هجوم فيم وير الجديد؟
يعتمد الهجوم بشكل أساسي على استغلال ثلاث ثغرات أمنية حرجة في أنظمة فيم وير، والتي تم تصنيفها كثغرات يوم الصفر (Zero-day) قبل الكشف عنها رسمياً. وتسمح هذه الثغرات للمهاجمين بتجاوز آليات الحماية التقليدية وتنفيذ تعليمات برمجية خبيثة.
وتشمل قائمة الثغرات المستغلة ما يلي:
- CVE-2025-22224: ثغرة خطيرة جداً بدرجة 9.3 تسمح بتسريب الذاكرة.
- CVE-2025-22225: ثغرة بدرجة 8.2 تمكن المهاجم من الكتابة العشوائية في الذاكرة.
- CVE-2025-22226: ثغرة بدرجة 7.1 تستخدم لتنفيذ التعليمات البرمجية.
وحسب تيكبامين، فإن استغلال هذه الثغرات مجتمعة يمنح المخترقين صلاحيات المسؤول (Admin) للسيطرة على عملية VMX الحيوية وتسريب بيانات الذاكرة الحساسة.
كيف تعمل أداة الاختراق MAESTRO؟
أشار الباحثون إلى أن المهاجمين طوروا مجموعة أدوات متطورة تتضمن برنامجاً رئيسياً يسمى "exploit.exe" أو ما يعرف باسم MAESTRO. يعمل هذا البرنامج كقائد لعملية الهروب من الآلة الافتراضية (VM escape) عبر سلسلة من الخطوات التقنية المعقدة.
خطوات تنفيذ الهجوم:
- تحديد إصدار نظام ESXi بدقة متناهية.
- استغلال الثغرات لكتابة حمولات خبيثة (Payloads) مباشرة في ذاكرة VMX.
- تعديل مؤشرات الوظائف لتوجيه النظام نحو تشغيل كود المهاجم بدلاً من الكود الشرعي.
- إرسال رسائل عبر واجهة VMCI لتفعيل الثغرة وتنفيذ الهروب إلى نواة النظام (Kernel).
هل يقف قراصنة صينيون خلف الهجوم؟
تشير الأدلة التقنية التي تم تحليلها إلى وجود صلة وثيقة بين هذا الهجوم ومجموعات قرصنة تتحدث الصينية. فقد عثر المحللون على سلاسل نصية باللغة الصينية المبسطة داخل كود أدوات الاختراق، بما في ذلك مجلد يحمل اسم "الهروب من جميع الإصدارات" بالصينية.
وتشير التقديرات إلى أن هذه الأدوات قد تم تطويرها منذ فبراير 2024، أي قبل عام كامل من الإفصاح الرسمي عن الثغرات من قبل شركة برودكوم (Broadcom)، مما يدل على قدرات وموارد عالية للمهاجمين.
كيف تحمي أنظمتك من ثغرات فيم وير؟
في ظل تصاعد هذه التهديدات، ينصح الخبراء بضرورة التحديث الفوري للأنظمة وتطبيق التصحيحات الأمنية التي أصدرتها الشركة. كما يجب مراقبة الشبكات بحثاً عن أي نشاط غير طبيعي يتعلق بعمليات VMX أو اتصالات مشبوهة عبر أجهزة VPN.
ويؤكد تيكبامين على أهمية عزل الأنظمة الحساسة وتقييد الوصول الإداري للحد من مخاطر استغلال مثل هذه الثغرات المعقدة في المستقبل.
