تحذير أمني: ثغرة فيم وير vCenter تحت القصف النشط

أدرجت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) مؤخراً ثغرة أمنية حرجة تصيب خوادم فيم وير (VMware vCenter) إلى قائمة الثغرات المستغلة بشكل نشط (KEV)، مما يرفع مستوى التأهب الأمني للمؤسسات التي تعتمد على هذه الأنظمة الحيوية.

ما هي تفاصيل ثغرة فيم وير CVE-2024-37079؟

تعتبر الثغرة الأمنية التي تحمل الرمز CVE-2024-37079 واحدة من أخطر الثغرات التي تم رصدها مؤخراً، حيث حصلت على تقييم خطورة شبه كامل (CVSS score: 9.8). تتعلق هذه المشكلة بخلل في إدارة الذاكرة (Heap Overflow) في تنفيذ بروتوكول DCE/RPC.

يمكن للمهاجمين استغلال هذه الثغرة لتحقيق الأهداف التالية:

• تنفيذ تعليمات برمجية عن بعد (RCE): تتيح للمهاجم السيطرة على الخادم دون الحاجة لتفاعل المستخدم.
• الوصول عبر الشبكة: يكفي أن يكون للمهاجم وصول شبكي للخادم لإرسال حزمة بيانات معدلة خصيصاً لاستغلال الثغرة.
• تجاوز المصادقة: لا تتطلب الثغرة بيانات اعتماد مسبقة للتنفيذ.

وقد أشار فريق تيكبامين إلى أن شركة برودكوم (Broadcom)، المالكة لشركة فيم وير، كانت قد أصدرت تحديثاً لإصلاح هذه المشكلة في يونيو 2024، إلا أن اكتشاف استغلالها النشط الآن يعيدها إلى الواجهة.

كيف تم اكتشاف سلسلة الثغرات هذه؟

يعود الفضل في اكتشاف هذه الثغرة إلى باحثين من شركة QiAnXin LegendSec الصينية، وهما Hao Zheng و Zibo Li. وقد تم تقديم تفاصيل حول هذه الثغرات في مؤتمر Black Hat Asia للأمن السيبراني في أبريل 2025.

أوضح الباحثون أن هذه الثغرة هي جزء من مجموعة أوسع تضم أربع ثغرات أمنية تم اكتشافها في خدمة DCE/RPC، وتشمل:

• ثلاث ثغرات من نوع Heap Overflow.
• ثغرة واحدة تتعلق بتصعيد الامتيازات (Privilege Escalation).
• تم إصلاح الثغرات المتبقية (CVE-2024-38812 و CVE-2024-38813) في تحديثات لاحقة في سبتمبر 2024.

لماذا تعتبر هذه الثغرة خطيرة جداً؟

تكمن الخطورة الحقيقية ليس فقط في الثغرة بحد ذاتها، بل في إمكانية دمجها مع ثغرات أخرى. وجد الباحثون إمكانية ربط ثغرة الذاكرة هذه مع ثغرة تصعيد الامتيازات (CVE-2024-38813).

هذا الربط يمنح المهاجمين قدرات مرعبة تشمل:

• الحصول على صلاحيات الجذر (Root Access) غير المصرح بها.
• السيطرة الكاملة على نظام ESXi، وهو ما يعني التحكم في البنية التحتية الافتراضية بالكامل للمؤسسة.

تأكيد الاستغلال النشط

على الرغم من عدم توفر تفاصيل دقيقة حول الجهات التي تقوم بالهجوم أو حجم الضرر الحالي، إلا أن شركة برودكوم قامت بتحديث نشرتها الأمنية لتؤكد رسمياً وجود أدلة على استغلال الثغرة في البرية (In-the-wild).

ما الذي يجب فعله الآن؟

في ضوء هذا التصعيد الخطير، ألزمت وكالة CISA الوكالات الفيدرالية بتحديث أنظمتها إلى أحدث إصدار بحلول 13 فبراير 2026. ومع ذلك، ينصح خبراء تيكبامين جميع مسؤولي الأنظمة في الشركات والمؤسسات الخاصة بعدم الانتظار وتطبيق التصحيحات الأمنية فوراً لإغلاق الباب أمام أي محاولات اختراق محتملة.