هل تريد نشرة يومية مجانية مخصصة؟ اختر فقط المواضيع التي تهمك ووفّر وقتك.

ثغرات راوندكيوب تستهدف جامعات أمريكية وكندية

ملخص للمقال
  • ثغرات راوندكيوب تستهدف جامعات أمريكية وكندية عبر حملة اختراق ركزت على خوادم البريد الإلكتروني في أقسام الفيزياء والهندسة وسرقة بيانات دخول المستخدمين
  • الهجمات على Roundcube استغلت ثغرات أمنية حرجة أُصلحت لاحقاً، ثم استخدمت بيانات الاعتماد المسروقة لزرع أدوات وصول خفي وضمان وجود دائم
  • اختراق راوندكيوب بدأ برسائل بريد خبيثة من حسابات مخترقة أو نطاقات ضعيفة الحماية، ما سهّل انتحال الهوية وتجاوز الثقة داخل الجامعات
  • الثغرة الأولى اعتمدت على XSS داخل واجهة Roundcube لتنفيذ JavaScript وسرقة معلومات الجلسة، ثم استُغلت ثغرة ثانية لتنفيذ أوامر على الخادم
  • استهداف جامعات أمريكية وكندية لم يكن عشوائياً، بل شمل أساتذة ومسؤولين مرتبطين بأبحاث حساسة مثل الفيزياء الفلكية وفيزياء الجسيمات المتقدمة
  • تأثير ثغرات راوندكيوب على المستخدمين يشمل سرقة الحسابات وتعريض البريد الأكاديمي للخطر، مع توقع تصاعد الهجمات إذا لم تُحدّث الخوادم وتُشدد سياسات الحماية
هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا
ثغرات راوندكيوب تستهدف جامعات أمريكية وكندية
محتوى المقال
جاري التحميل...

ثغرات راوندكيوب عادت للواجهة بعد رصد هجمات استهدفت جامعات أمريكية وكندية، مع سرقة بيانات دخول وزرع أدوات وصول خفي داخل الخوادم.

ما قصة ثغرات راوندكيوب التي استهدفت الجامعات؟

كشفت متابعة أمنية حديثة عن حملة اختراق طالت أقسام الفيزياء والهندسة في عدد من الجامعات داخل الولايات المتحدة وكندا. وتركزت الهجمات على خوادم البريد المبنية على Roundcube، وهو نظام بريد إلكتروني مفتوح المصدر يستخدم على نطاق واسع في المؤسسات التعليمية.

وبحسب المعلومات التي تابعها تيكبامين، فإن المهاجمين استغلوا ثغرات أمنية حرجة تم إصلاحها لاحقاً، ثم انتقلوا إلى جمع بيانات الاعتماد الخاصة بالمستخدمين. وبعد ذلك، حاولوا تثبيت أدوات تمنحهم وجوداً دائماً داخل الخادم أو ما يعرف بالوصول المستمر.

لماذا كانت هذه الجامعات هدفاً؟

اللافت أن الأهداف لم تكن عشوائية بالكامل، إذ تركز الاهتمام على مسؤولين وأساتذة يعملون في أقسام لها صلات بملفات حساسة أو أبحاث علمية متقدمة مثل الفيزياء الفلكية وفيزياء الجسيمات. هذا النمط يوحي بأن المهاجمين أجروا استطلاعاً مسبقاً قبل بدء الهجوم.

كيف تم تنفيذ اختراق راوندكيوب؟

اعتمدت الحملة على رسائل بريد إلكتروني خبيثة أُرسلت من حسابات مخترقة أو من نطاقات يسهل انتحالها بسبب سياسات حماية ضعيفة. وبمجرد فتح الرسالة داخل واجهة Roundcube، يمكن أن يبدأ الاستغلال دون الحاجة إلى خطوات معقدة من الضحية.

الثغرة الأولى سمحت بتنفيذ شيفرة JavaScript داخل المتصفح عبر هجوم XSS، وهو ما فتح الباب أمام جمع معلومات حساسة من جلسة المستخدم. وبعد نجاح هذه المرحلة، استُخدمت ثغرة أخرى بعد تسجيل الدخول من أجل الوصول إلى تنفيذ أوامر على الخادم نفسه.

  • الثغرة الأولى: استغلال XSS للحصول على صلاحية داخل الجلسة
  • الثغرة الثانية: تنفيذ أوامر عن بُعد بعد المصادقة
  • النتيجة: سرقة بيانات الدخول وزرع أداة تحكم أو Web Shell

ما البيانات التي يسعى المهاجمون لسرقتها؟

الحمولة الخبيثة التي ظهرت في هذه الحملة صُممت لالتقاط أكثر من مجرد اسم المستخدم وكلمة المرور. فهي تحاول أيضاً جمع ملفات تعريف الارتباط، وبعض رموز التحقق المرتبطة بالمصادقة الثنائية، إلى جانب معلومات عن بيئة المتصفح والجهاز.

أبرز المعلومات المستهدفة

  • بيانات تسجيل الدخول الخاصة بالبريد
  • ملفات الارتباط الخاصة بالجلسات النشطة
  • بعض بيانات المصادقة الثنائية
  • لغة المتصفح وحجم الشاشة وحقول النماذج

بعد ذلك تُرسل البيانات المسروقة إلى خادم خارجي عبر طلب HTTP POST، ثم تُستخدم الجلسة المخترقة كمدخل للتوسع داخل البنية التحتية للجامعة. هذا الأسلوب يمنح المهاجمين نقطة ارتكاز داخل الشبكة بدلاً من الاكتفاء بسرقة البريد فقط.

كيف تحمي المؤسسات نفسها من ثغرات راوندكيوب؟

الحماية هنا تبدأ من تحديثات سريعة، لأن الاعتماد على نسخ قديمة من Roundcube يجعل المؤسسة هدفاً سهلاً لهجمات N-day. كما أن تحسين سياسات DMARC وفلترة الرسائل المشبوهة يقلل فرص نجاح رسائل التصيد التي تفتح باب الاستغلال.

  • تحديث Roundcube فوراً إلى أحدث إصدار آمن
  • مراجعة سياسات DMARC وSPF وDKIM
  • تقييد صلاحيات الجلسات ومراقبة نشاط البريد
  • فحص الخوادم بحثاً عن Web Shell أو أدوات تحكم خفية

في النهاية، تؤكد هذه الحملة أن ثغرات راوندكيوب لم تعد مجرد خطر نظري، بل بوابة فعلية لاختراق مؤسسات بحثية حساسة. ولهذا ترى تيكبامين أن سرعة التحديث والمراقبة المستمرة أصبحتان خط الدفاع الأول أمام هذا النوع من الهجمات.

التعليقات (1)


أضف تعليقك

عدد الأحرف: 0 يدعم: **نص غامق** *مائل* `كود` [رابط](url)

مقالات مرتبطة

الكلمات المفتاحية:

#الأمن السيبراني

مقالات مقترحة

محتوى المقال
جاري التحميل...