ثغرة في نظام نوليدج ديليفر تنشر برمجيات جودزيلا الخبيثة

ثغرة أمنية خطيرة في نظام نوليدج ديليفر تسمح بنشر برمجيات Godzilla وCobalt Strike الخبيثة، مما يهدد بيانات المستخدمين، وفقاً لما تابعه تيكبامين مؤخراً.

ما هي ثغرة نظام نوليدج ديليفر (KnowledgeDeliver) الأمنية؟

تم اكتشاف ثغرة أمنية عالية الخطورة تحمل الرمز CVE-2026-5426 في نظام إدارة التعلم الياباني الشهير "نوليدج ديليفر". تكمن خطورة هذه الثغرة في قدرتها على السماح للمهاجمين بتنفيذ تعليمات برمجية عن بُعد دون الحاجة إلى مصادقة، وهو ما يُعرف تقنياً بهجمات RCE.

وفقاً للتقارير التقنية التي حللها فريق تيكبامين، فإن هذه الثغرة حصلت على تقييم 7.5 درجة على مقياس CVSS، مما يصنفها كتهديد مرتفع الخطورة. وتتأثر الأنظمة التي تم نشرها قبل تاريخ 24 فبراير 2026 بهذا الخلل الأمني الذي تم استغلاله كـ "هجوم يوم الصفر" قبل سده بشكل رسمي.

لماذا تعتبر مفاتيح ASP.NET Machine Keys نقطة ضعف قاتلة؟

يعود أصل المشكلة إلى استخدام مفاتيح برمجية ثابتة (Hard-coded) في إطار عمل ASP.NET داخل ملفات إعداد النظام. وتكمن المشكلة في النقاط التالية:

• الاعتماد على ملف web.config قياسي مقدم من المورد يحتوي على مفاتيح مشفرة موحدة.
• استخدام هذه المفاتيح لتشفير وتوقيع البيانات الحساسة مثل ViewState.
• قدرة المهاجمين على الحصول على هذه المفاتيح من نسخة واحدة واستخدامها لاختراق أي نسخة أخرى متصلة بالإنترنت.

كيف استغل القراصنة برمجيات جودزيلا (Godzilla) وكوبالت سترايك؟

بمجرد معرفة مفاتيح التشفير، يقوم المهاجم بصياغة حمولة ViewState خبيثة وإرسالها عبر طلب HTTP. عندما يقوم الخادم بمعالجة هذا الطلب، يتم تنفيذ الكود الخبيث الذي يؤدي عادةً إلى زرع "غلاف ويب" (Web Shell) يُعرف باسم Godzilla أو BLUEBEAM.

تمنح هذه البرمجية الخبيثة القراصنة سيطرة كاملة للقيام بالعمليات التالية:

• تنفيذ أوامر النظام مباشرة على خادم الويب التعليمي.
• رفع ملفات إضافية أو برمجيات تجسس أكثر تعقيداً.
• تعديل أذونات الملفات لتصبح متاحة للجميع (Everyone)، مما يسهل عملية السيطرة التامة.

بعد السيطرة على الخادم، يقوم المهاجمون بتعديل ملفات JavaScript الخاصة بالتطبيق لعرض تنبيهات أمنية مزيفة. تطلب هذه التنبيهات من الطلاب والمعلمين تحميل "إضافة توثيق أمني" مزيفة، وهي في الواقع وسيلة لإصابة أجهزتهم ببرمجية Cobalt Strike Beacon للتجسس الدائم.

كيف يمكنك حماية مؤسستك من هجمات اختراق الأنظمة التعليمية؟

لم تكن أنظمة نوليدج ديليفر هي الوحيدة المستهدفة، بل رُصدت هجمات مماثلة استهدفت أنظمة مثل Sitecore وGladinet. ولحماية البنية التحتية الرقمية، يوصي الخبراء عبر تيكبامين بضرورة اتباع إجراءات أمنية صارمة.

أهم خطوات الحماية التقنية:

• تحديث نظام KnowledgeDeliver فوراً إلى النسخة الصادرة بعد 24 فبراير 2026.
• تغيير مفاتيح MachineKey الافتراضية في ملف web.config لضمان تفرد كل خادم بمفاتيح تشفير خاصة.
• مراقبة أي تعديلات غير مصرح بها في ملفات جافا سكريبت الخاصة بالموقع.
• توعية المستخدمين بعدم تحميل أي إضافات أو برامج منبثقة تظهر فجأة داخل المنصة التعليمية.

في الختام، يظهر هذا الاختراق أهمية عدم الاعتماد على الإعدادات الافتراضية للموردين، وضرورة إجراء تدقيق أمني دوري للمفاتيح المشفرة التي يعتمد عليها إطار عمل ASP.NET لضمان سلامة البيانات ومنع تنفيذ الهجمات المتسلسلة التي تبدأ بثغرة بسيطة وتنتهي بتهديد أجهزة المستخدمين النهائيين.