ثغرات راوندكيوب عادت للواجهة بعد رصد هجمات استهدفت جامعات أمريكية وكندية، مع سرقة بيانات دخول وزرع أدوات وصول خفي داخل الخوادم.
ما قصة ثغرات راوندكيوب التي استهدفت الجامعات؟
كشفت متابعة أمنية حديثة عن حملة اختراق طالت أقسام الفيزياء والهندسة في عدد من الجامعات داخل الولايات المتحدة وكندا. وتركزت الهجمات على خوادم البريد المبنية على Roundcube، وهو نظام بريد إلكتروني مفتوح المصدر يستخدم على نطاق واسع في المؤسسات التعليمية.
وبحسب المعلومات التي تابعها تيكبامين، فإن المهاجمين استغلوا ثغرات أمنية حرجة تم إصلاحها لاحقاً، ثم انتقلوا إلى جمع بيانات الاعتماد الخاصة بالمستخدمين. وبعد ذلك، حاولوا تثبيت أدوات تمنحهم وجوداً دائماً داخل الخادم أو ما يعرف بالوصول المستمر.
لماذا كانت هذه الجامعات هدفاً؟
اللافت أن الأهداف لم تكن عشوائية بالكامل، إذ تركز الاهتمام على مسؤولين وأساتذة يعملون في أقسام لها صلات بملفات حساسة أو أبحاث علمية متقدمة مثل الفيزياء الفلكية وفيزياء الجسيمات. هذا النمط يوحي بأن المهاجمين أجروا استطلاعاً مسبقاً قبل بدء الهجوم.
كيف تم تنفيذ اختراق راوندكيوب؟
اعتمدت الحملة على رسائل بريد إلكتروني خبيثة أُرسلت من حسابات مخترقة أو من نطاقات يسهل انتحالها بسبب سياسات حماية ضعيفة. وبمجرد فتح الرسالة داخل واجهة Roundcube، يمكن أن يبدأ الاستغلال دون الحاجة إلى خطوات معقدة من الضحية.
الثغرة الأولى سمحت بتنفيذ شيفرة JavaScript داخل المتصفح عبر هجوم XSS، وهو ما فتح الباب أمام جمع معلومات حساسة من جلسة المستخدم. وبعد نجاح هذه المرحلة، استُخدمت ثغرة أخرى بعد تسجيل الدخول من أجل الوصول إلى تنفيذ أوامر على الخادم نفسه.
- الثغرة الأولى: استغلال XSS للحصول على صلاحية داخل الجلسة
- الثغرة الثانية: تنفيذ أوامر عن بُعد بعد المصادقة
- النتيجة: سرقة بيانات الدخول وزرع أداة تحكم أو Web Shell
ما البيانات التي يسعى المهاجمون لسرقتها؟
الحمولة الخبيثة التي ظهرت في هذه الحملة صُممت لالتقاط أكثر من مجرد اسم المستخدم وكلمة المرور. فهي تحاول أيضاً جمع ملفات تعريف الارتباط، وبعض رموز التحقق المرتبطة بالمصادقة الثنائية، إلى جانب معلومات عن بيئة المتصفح والجهاز.
أبرز المعلومات المستهدفة
- بيانات تسجيل الدخول الخاصة بالبريد
- ملفات الارتباط الخاصة بالجلسات النشطة
- بعض بيانات المصادقة الثنائية
- لغة المتصفح وحجم الشاشة وحقول النماذج
بعد ذلك تُرسل البيانات المسروقة إلى خادم خارجي عبر طلب HTTP POST، ثم تُستخدم الجلسة المخترقة كمدخل للتوسع داخل البنية التحتية للجامعة. هذا الأسلوب يمنح المهاجمين نقطة ارتكاز داخل الشبكة بدلاً من الاكتفاء بسرقة البريد فقط.
كيف تحمي المؤسسات نفسها من ثغرات راوندكيوب؟
الحماية هنا تبدأ من تحديثات سريعة، لأن الاعتماد على نسخ قديمة من Roundcube يجعل المؤسسة هدفاً سهلاً لهجمات N-day. كما أن تحسين سياسات DMARC وفلترة الرسائل المشبوهة يقلل فرص نجاح رسائل التصيد التي تفتح باب الاستغلال.
- تحديث Roundcube فوراً إلى أحدث إصدار آمن
- مراجعة سياسات DMARC وSPF وDKIM
- تقييد صلاحيات الجلسات ومراقبة نشاط البريد
- فحص الخوادم بحثاً عن Web Shell أو أدوات تحكم خفية
في النهاية، تؤكد هذه الحملة أن ثغرات راوندكيوب لم تعد مجرد خطر نظري، بل بوابة فعلية لاختراق مؤسسات بحثية حساسة. ولهذا ترى تيكبامين أن سرعة التحديث والمراقبة المستمرة أصبحتان خط الدفاع الأول أمام هذا النوع من الهجمات.