استغلال ثغرة يوم صفر خطيرة في Dell RecoverPoint منذ 2024
🗓 الأربعاء - 18 فبراير 2026، 03:10 مساءً |
⏱ 2 دقيقة |
👁 8 مشاهدة
كشفت تقارير أمنية حديثة عن استغلال ثغرة حرجة من نوع "يوم صفر" (Zero-day) في أنظمة Dell RecoverPoint المخصصة للأجهزة الافتراضية، حيث تقوم مجموعة تهديد مرتبطة بالصين تعرف باسم UNC6201 بشن هجمات نشطة منذ منتصف عام 2024. ما هي تفاصيل ثغرة CVE-2026-22769 الخطيرة؟ تتمحور الهجمات حول استغلال الثغرة المصنفة برقم CVE-2026-22769، والتي حصلت على أعلى درجة خطورة ممكنة (CVSS 10.0). وتكمن المشكلة في وجود بيانات اعتماد (Credentials) مضمنة وثابتة في التعليمات البرمجية للإصدارات القديمة من البرنامج. وبحسب تحليل خبراء تيكبامين، فإن هذه الثغرة تسمح للمهاجمين بالوصول الكامل للنظام دون الحاجة لأي مصادقة مسبقة، مما يعرض البنية التحتية للمؤسسات لخطر داهم. تشمل التفاصيل الفنية للثغرة ما يلي: الإصدارات المتأثرة: نسخ Dell RecoverPoint for Virtual Machines ما قبل 6.0.3.1 HF1. طبيعة الخلل: حساب "admin" بكلمة مرور مضمنة في Apache Tomcat Manager. النتيجة: قدرة المهاجم على رفع ملفات خبيثة (Web Shell) وتنفيذ أوامر بصلاحيات الجذر (Root). كيف تعمل برمجية GRIMBOLT الخبيثة؟ تستخدم مجموعة UNC6201 أدوات متطورة لاختراق الشبكات والبقاء فيها لفترات طويلة دون اكتشافها. تبدأ العملية بالوصول إلى واجهة الإدارة باستخدام البيانات المسربة، ثم رفع أداة SLAYSTYLE عبر نقطة النهاية "/manager/text/deploy". بمجرد الدخول، يتم نشر برمجيات خبيثة متقدمة تشمل: BRICKSTORM: باب خلفي (Backdoor) مكتوب بلغة C# ويستخدم تقنيات تجميع تجعل هندسته العكسية صعبة للغاية. GRIMBOLT: النسخة الأحدث والأكثر تطوراً، مصممة للاندماج مع ملفات النظام الأصلية لتقليل الآثار الجنائية وتجنب برامج الحماية. وقد لوحظ أن الهجمات استهدفت مؤسسات كبرى في أمريكا الشمالية، حيث يعتمد المهاجمون على تقنيات التخفي المتقدمة لسرقة البيانات والتجسس. ما هي تقنية "Ghost NICs" المستخدمة في الهجوم؟ من الجوانب المثيرة للاهتمام في هذه الحملة، استخدام المهاجمين لما يسمى واجهات الشبكة الافتراضية المؤقتة أو "Ghost NICs". تسمح هذه التقنية للمخترقين بالانتقال من الأجهزة الافتراضية المخترقة إلى البيئات الداخلية أو السحابية (SaaS) ثم حذف الآثار بسرعة. وتوصي تيكبامين بضرورة عزل خوادم RecoverPoint داخل شبكات داخلية موثوقة ومحيمة بجدران نارية قوية، حيث أن هذا النظام غير مصمم للعمل على الشبكات العامة أو غير الموثوقة. خطوات الحماية العاجلة لضمان سلامة بياناتك وأنظمتك، يجب اتباع الخطوات التالية فوراً: تحديث البرنامج إلى الإصدار 6.0.3.1 HF1 أو أحدث فوراً. تقييد الوصول إلى واجهات الإدارة عبر عناوين IP محددة وموثوقة. مراجعة سجلات النظام بحثاً عن أي نشاط غير معتاد في Apache Tomcat.