تحذير من ثغرة FileZen النشطة وتحديث عاجل

ثغرة FileZen الجديدة التي رُصد استغلالها فعليًا دفعت الجهات الأمريكية للتحذير، ما يجعل التحديث السريع ضرورة لحماية المؤسسات.

ما هي ثغرة FileZen CVE-2026-25108 ولماذا هي خطيرة؟

أدرجت وكالة الأمن السيبراني والبنية التحتية الأمريكية الثغرة في كتالوج الثغرات المستغلة المعروفة KEV بعد رصد استغلال نشط، ما يرفع مستوى الخطورة على المؤسسات. الثغرة تحمل رقم CVE-2026-25108 وتقييم CVSS v4 يبلغ 8.7، ما يضعها ضمن النطاق العالي.

• النوع: حقن أوامر نظام التشغيل عبر طلبات HTTP.
• التقييم: 8.7 وفق معيار CVSS v4.
• نطاق الهجوم: مستخدم مصادق يملك حسابًا عاديًا.

كيف يتم الاستغلال؟

يستطيع المهاجم إرسال طلب HTTP مُصاغ بعناية بعد تسجيل الدخول لتنفيذ أوامر النظام عن بُعد، وهو ما قد يفتح الباب للتخريب أو سرقة البيانات. يظهر الخطر عندما يكون خيار فحص مضاد الفيروسات مفعّلًا في FileZen.

ما التأثيرات المحتملة؟

إطلاق أوامر على الخادم قد يسمح بتعديل إعدادات النقل أو الوصول إلى ملفات داخلية، وقد يمتد التأثير إلى أنظمة متصلة بالشبكة.

• سرقة بيانات نقل الملفات أو تعطيلها مؤقتًا.
• زرع أدوات تحكم عن بعد أو أبواب خلفية.
• تصعيد الهجوم إلى خوادم أخرى عبر الشبكة.

ما الإصدارات المتأثرة وما شرط التفعيل؟

تشير ملاحظات الثغرات اليابانية إلى أن الإصدارات المتأثرة هي نسخ FileZen السابقة للتحديث الأمني الأخير، بينما أوصت الشركة بالتحديث الفوري. عدم توفر تفاصيل دقيقة لكل إصدار يجعل قاعدة آمنة هي التعامل مع أي نسخة أقدم من 5.0.11 كمخاطرة.

• الإصدارات الأقدم من 5.0.11.
• تفعيل خيار فحص مضاد الفيروسات داخل FileZen.
• الدخول إلى واجهة الويب بامتيازات مستخدم عام.

من هم الأكثر تعرضًا؟

الجهات التي تسمح بالوصول عبر الإنترنت أو تعتمد حسابات مشتركة ستكون أكثر عرضة، خصوصًا في بيئات مشاركة الملفات الكبيرة.

• مزودو الخدمات المدارة ومراكز البيانات.
• القطاعات الحكومية والتعليمية التي تعتمد FileZen.
• الشركات التي لا تطبق المصادقة متعددة العوامل.

هل هناك حوادث مؤكدة؟

أكدت الشركة تلقيها تقريرًا واحدًا على الأقل عن أضرار ناتجة عن الاستغلال. وبحسب تيكبامين، فإن شرط امتلاك حساب مستخدم لا يقلل من الخطر في البيئات التي تتشارك الحسابات.

ما الذي يجب أن تفعله المؤسسات الآن؟

طُلب من جهات الوكالات المدنية الفيدرالية الأمريكية (FCEB) تطبيق الإصلاحات قبل 17 مارس 2026، بينما على المؤسسات الأخرى العمل بنفس الإيقاع لتقليل نافذة الهجوم. الوقت مهم لأن الاستغلال نشط بالفعل.

خطوات التخفيف الفورية

• التحديث إلى إصدار 5.0.11 أو أحدث في أسرع وقت.
• تغيير جميع كلمات المرور الاحترازية للحسابات.
• مراجعة سجلات الوصول وطلبات HTTP غير المألوفة.
• تقييد الوصول للواجهة على الشبكات الموثوقة فقط.
• تعطيل خيار الفحص إن لم يكن مطلوبًا تشغيليًا.

إدارة التصحيحات يجب أن تتضمن اختبارًا سريعًا على بيئة تجريبية ثم نشره تدريجيًا، مع خطة تراجع واضحة. كما يُنصح بإبلاغ فرق الدعم الداخلي لرفع مستوى التنبيه.

لماذا يهم هذا التحذير لفرق الأمن؟

إدراج الثغرة في KEV يعني أنها ليست نظرية، بل تُستغل في الواقع، وهو ما يجعل إدارة التصحيحات أولوية قصوى. الفرق الأمنية تحتاج إلى مراقبة مؤشرات الهجوم وربطها بسجلات الويب.

كيف تراجع مؤشرات الهجوم؟

ركز على الأنشطة غير المعتادة بعد تسجيل الدخول، خاصة الطلبات التي تتضمن أوامر نظام أو استدعاءات غريبة. الربط بين سجلات التطبيق ونظام التشغيل يساعد على كشف الأنماط بسرعة.

• طلبات POST غير مألوفة تتكرر خلال دقائق.
• أوامر نظام تُنفذ خارج أوقات العمل المعتادة.
• إنشاء حسابات جديدة أو تغييرات مفاجئة في الصلاحيات.

الخلاصة أن معالجة ثغرة FileZen بسرعة، مع تغيير كلمات المرور ومراجعة السجلات، هو أفضل مسار لتجنب توقف الخدمات أو تسريب البيانات.