استغلال ثغرة يوم صفر خطيرة في Dell RecoverPoint منذ 2024

وقت القراءة: 2 دقيقة عدد الكلمات: 363 الأمن الرقمي

هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا

استغلال ثغرة يوم صفر خطيرة في Dell RecoverPoint منذ 2024

تيكبامين تم النشر: الأربعاء - 18 فبراير 2026، 03:10 مساءً 8 مشاهدة

محتوى المقال

جاري التحميل...

كشفت تقارير أمنية حديثة عن استغلال ثغرة حرجة من نوع "يوم صفر" (Zero-day) في أنظمة Dell RecoverPoint المخصصة للأجهزة الافتراضية، حيث تقوم مجموعة تهديد مرتبطة بالصين تعرف باسم UNC6201 بشن هجمات نشطة منذ منتصف عام 2024.

ما هي تفاصيل ثغرة CVE-2026-22769 الخطيرة؟

تتمحور الهجمات حول استغلال الثغرة المصنفة برقم CVE-2026-22769، والتي حصلت على أعلى درجة خطورة ممكنة (CVSS 10.0). وتكمن المشكلة في وجود بيانات اعتماد (Credentials) مضمنة وثابتة في التعليمات البرمجية للإصدارات القديمة من البرنامج.

وبحسب تحليل خبراء تيكبامين، فإن هذه الثغرة تسمح للمهاجمين بالوصول الكامل للنظام دون الحاجة لأي مصادقة مسبقة، مما يعرض البنية التحتية للمؤسسات لخطر داهم.

تشمل التفاصيل الفنية للثغرة ما يلي:

الإصدارات المتأثرة: نسخ Dell RecoverPoint for Virtual Machines ما قبل 6.0.3.1 HF1.
طبيعة الخلل: حساب "admin" بكلمة مرور مضمنة في Apache Tomcat Manager.
النتيجة: قدرة المهاجم على رفع ملفات خبيثة (Web Shell) وتنفيذ أوامر بصلاحيات الجذر (Root).

كيف تعمل برمجية GRIMBOLT الخبيثة؟

تستخدم مجموعة UNC6201 أدوات متطورة لاختراق الشبكات والبقاء فيها لفترات طويلة دون اكتشافها. تبدأ العملية بالوصول إلى واجهة الإدارة باستخدام البيانات المسربة، ثم رفع أداة SLAYSTYLE عبر نقطة النهاية "/manager/text/deploy".

بمجرد الدخول، يتم نشر برمجيات خبيثة متقدمة تشمل:

BRICKSTORM: باب خلفي (Backdoor) مكتوب بلغة C# ويستخدم تقنيات تجميع تجعل هندسته العكسية صعبة للغاية.
GRIMBOLT: النسخة الأحدث والأكثر تطوراً، مصممة للاندماج مع ملفات النظام الأصلية لتقليل الآثار الجنائية وتجنب برامج الحماية.

وقد لوحظ أن الهجمات استهدفت مؤسسات كبرى في أمريكا الشمالية، حيث يعتمد المهاجمون على تقنيات التخفي المتقدمة لسرقة البيانات والتجسس.

ما هي تقنية "Ghost NICs" المستخدمة في الهجوم؟

من الجوانب المثيرة للاهتمام في هذه الحملة، استخدام المهاجمين لما يسمى واجهات الشبكة الافتراضية المؤقتة أو "Ghost NICs". تسمح هذه التقنية للمخترقين بالانتقال من الأجهزة الافتراضية المخترقة إلى البيئات الداخلية أو السحابية (SaaS) ثم حذف الآثار بسرعة.

وتوصي تيكبامين بضرورة عزل خوادم RecoverPoint داخل شبكات داخلية موثوقة ومحيمة بجدران نارية قوية، حيث أن هذا النظام غير مصمم للعمل على الشبكات العامة أو غير الموثوقة.

خطوات الحماية العاجلة

لضمان سلامة بياناتك وأنظمتك، يجب اتباع الخطوات التالية فوراً:

تحديث البرنامج إلى الإصدار 6.0.3.1 HF1 أو أحدث فوراً.
تقييد الوصول إلى واجهات الإدارة عبر عناوين IP محددة وموثوقة.
مراجعة سجلات النظام بحثاً عن أي نشاط غير معتاد في Apache Tomcat.

التعليقات (1)

أضف تعليقك

مقالات مرتبطة

مقالات مقترحة

الإشعارات

استغلال ثغرة يوم صفر خطيرة في Dell RecoverPoint منذ 2024

ما هي تفاصيل ثغرة CVE-2026-22769 الخطيرة؟

كيف تعمل برمجية GRIMBOLT الخبيثة؟

ما هي تقنية "Ghost NICs" المستخدمة في الهجوم؟

خطوات الحماية العاجلة

التعليقات (1)

أضف تعليقك

مقالات مرتبطة

ثغرة خطيرة في MongoDB تتيح قراءة بيانات الذاكرة دون مصادقة

اختراق أدوات الأمان: الخطر الخفي الذي يهدد تطبيقاتك

ثغرات أدوات الأمن: الخطر الخفي في تطبيقاتك

IBM تحذر من ثغرة خطيرة في API Connect تسمح بالاختراق

الكلمات المفتاحية:

مقالات مقترحة

ثغرات الأمن الرقمي تهدد محطات الطاقة والمراكز الحيوية

حزمة PyPI خبيثة تنتحل SymPy وتزرع XMRig

إضافة Moltbot مزيفة في VS Code تنشر برمجيات خبيثة

استغلال ثغرة يوم صفر خطيرة في Dell RecoverPoint منذ 2024

ما هي تفاصيل ثغرة CVE-2026-22769 الخطيرة؟

كيف تعمل برمجية GRIMBOLT الخبيثة؟

ما هي تقنية "Ghost NICs" المستخدمة في الهجوم؟

خطوات الحماية العاجلة

التعليقات (1)

أضف تعليقك

مقالات مرتبطة

ثغرة خطيرة في MongoDB تتيح قراءة بيانات الذاكرة دون مصادقة

اختراق أدوات الأمان: الخطر الخفي الذي يهدد تطبيقاتك

ثغرات أدوات الأمن: الخطر الخفي في تطبيقاتك

IBM تحذر من ثغرة خطيرة في API Connect تسمح بالاختراق

الكلمات المفتاحية:

مقالات مقترحة

ثغرات الأمن الرقمي تهدد محطات الطاقة والمراكز الحيوية

حزمة PyPI خبيثة تنتحل SymPy وتزرع XMRig

إضافة Moltbot مزيفة في VS Code تنشر برمجيات خبيثة

نحن نقدر خصوصيتك