ثغرة BeyondTrust الخطيرة: هجوم شامل يهدد الشركات عالمياً

كشف خبراء الأمن السيبراني عن موجة هجمات جديدة تستغل ثغرة أمنية حرجة تم الكشف عنها مؤخراً في منتجات BeyondTrust للدعم عن بعد، مما يفتح الباب أمام المهاجمين للسيطرة الكاملة على الأنظمة وسرقة البيانات، وذلك بحسب متابعة فريق تيكبامين لآخر التطورات الأمنية.

تُعرف الثغرة الجديدة بالرمز CVE-2026-1731، وقد حصلت على تقييم خطورة شبه كامل (9.9 من 10) على مقياس CVSS، مما يشير إلى مدى الكارثة التي قد تسببها للمؤسسات التي تعتمد على أنظمة الوصول عن بعد (PRA) والدعم الفني (RS).

ما هي مخاطر استغلال ثغرة BeyondTrust؟

أكد تقرير صادر عن الوحدة 42 في شبكة "بالو ألتو نتووركس" أن الجهات التهديدية تستغل هذا الخلل الأمني بشكل نشط لتنفيذ مجموعة واسعة من الأنشطة الخبيثة. الخطورة تكمن في قدرة المهاجمين على تنفيذ أوامر نظام التشغيل بصلاحيات مستخدم الموقع، مما يمنحهم موطئ قدم قوي داخل الشبكة.

وتتضمن قائمة الأنشطة الخبيثة التي تم رصدها ما يلي:

• نشر أدوات "Web Shells" للتحكم المستمر في الخوادم.
• تثبيت أبواب خلفية (Backdoors) لضمان العودة للشبكة لاحقاً.
• تنفيذ عمليات استطلاع واسعة للشبكة الداخلية.
• سرقة البيانات الحساسة وتصديرها للخارج.
• التنقل الجانبي داخل الشبكة للوصول إلى أنظمة أكثر أهمية.

من هم الضحايا المستهدفون في هذه الحملة؟

لم تقتصر الهجمات على قطاع واحد، بل شملت حملة واسعة طالت العديد من الصناعات الحيوية. ويحذر تيكبامين من أن المؤسسات المالية والقانونية هي الأكثر عرضة للخطر نظراً لحساسية بياناتها.

وقد تم رصد استهداف القطاعات التالية بشكل مكثف:

• الخدمات المالية والبنوك.
• شركات التكنولوجيا والتقنية العالية.
• قطاع التعليم العالي والجامعات.
• مؤسسات الرعاية الصحية والمستشفيات.
• تجار التجزئة والجملة.

جغرافياً، تركزت الهجمات في الولايات المتحدة، فرنسا، ألمانيا، أستراليا، وكندا، مما يدل على الطبيعة العالمية لهذا التهديد.

كيف تعمل الثغرة تقنياً؟

أوضح الباحثون أن الثغرة ناتجة عن فشل في عملية تنقية المدخلات (Input Sanitization). هذا الخلل يسمح للمهاجم باستغلال سكريبت "thin-scc-wrapper" الذي يمكن الوصول إليه عبر واجهة WebSocket، ليقوم بحقن وتنفيذ أوامر Shell تعسفية.

الفرق بين CVE-2026-1731 وثغرات سابقة

أشارت التقارير إلى تشابه مثير للاهتمام بين هذه الثغرة وثغرة سابقة (CVE-2024-12356)، حيث يعاني كلاهما من مشاكل في التحقق من صحة المدخلات، ولكن في مسارات تنفيذ مختلفة:

• CVE-2024-12356: كانت المشكلة في برمجيات طرف ثالث (Postgres).
• CVE-2026-1731: المشكلة تكمن مباشرة في الكود المصدري لمنتجات BeyondTrust نفسها.

وفي الختام، قامت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) بتحديث كتالوج الثغرات المستغلة المعروفة (KEV) لتشمل CVE-2026-1731، مؤكدة استخدامها في حملات برامج الفدية، مما يستوجب التحديث الفوري للأنظمة المتأثرة.