ثغرة F5 BIG-IP: تحذير من هجمات نشطة لتنفيذ أكواد برمجية

أضافت وكالة (CISA) ثغرة F5 BIG-IP الخطيرة إلى قائمة الثغرات المستغلة، محذرة من هجمات نشطة تستهدف الوصول الكامل للأنظمة المتضررة حالياً.

قامت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يوم الجمعة بإدراج ثغرة أمنية حرجة تؤثر على مدير سياسات الوصول (APM) في أنظمة F5 BIG-IP ضمن دليل الثغرات المعروفة المستغلة (KEV)، وذلك بعد ظهور أدلة قاطعة على استغلالها من قبل جهات فاعلة في تهديدات سيبرانية.

ما هي ثغرة F5 BIG-IP المكتشفة حديثاً؟

تُعرف الثغرة تقنياً بالرمز CVE-2025-53521، وقد حصلت على تقييم خطورة مرتفع جداً يصل إلى 9.3 من 10 وفقاً لمقياس CVSS v4، مما يجعلها واحدة من أخطر التهديدات الحالية.

تسمح هذه الثغرة للمهاجمين بتنفيذ تعليمات برمجية عن بُعد (RCE) على الأنظمة المصابة، وهو ما يعني إمكانية السيطرة الكاملة على الخادم دون الحاجة إلى صلاحيات وصول مسبقة.

وفقاً لما ذكره تقرير لـ تيكبامين، فإن المشكلة تكمن في كيفية معالجة حركة المرور الخبيثة عند تكوين سياسة وصول BIG-IP APM على خادم افتراضي، حيث يمكن استغلال هذه الحركة لتنفيذ الأوامر.

كيف تؤثر ثغرة CVE-2025-53521 على أمن المؤسسات؟

في البداية، تم تصنيف هذه الثغرة على أنها مجرد خلل يؤدي إلى "حرمان من الخدمة" (DoS) مع درجة خطورة أقل، ولكن مع ظهور معلومات جديدة في مارس 2026، تم إعادة تصنيفها كـ RCE.

أكدت شركة F5 أن الثغرة قد استُغلت بالفعل في الإصدارات الضعيفة، ورغم أنها لم تكشف عن هوية المهاجمين، إلا أن طبيعة الهجمات تشير إلى مستوى عالٍ من الاحترافية.

أهم خصائص الهجوم المرصود:

• تنفيذ الأكواد في الذاكرة: لوحظ أن البرمجيات الخبيثة (Webshells) تعمل غالباً في الذاكرة فقط لتجنب الكشف.
• تجاوز المصادقة: يمكن تنفيذ الهجوم قبل عملية المصادقة، مما يزيد من سهولة اختراق الأنظمة غير المحمية.
• تغيير ملفات النظام: في بعض الحالات، تم رصد كتابة ملفات خبيثة على القرص الصلب، لكنها تظل نادرة مقارنة بالعمليات التي تتم في الذاكرة.

متى يجب إصلاح ثغرة F5 BIG-IP لتجنب الاختراق؟

بسبب خطورة الموقف والاستغلال النشط، منحت وكالة CISA الوكالات الفيدرالية والشركات مهلة قصيرة جداً تنتهي في 30 مارس 2026 لتطبيق الإصلاحات الضرورية وتأمين شبكاتها.

يشير الخبراء، ومنهم بنجامين هاريس، إلى أن التحول من ثغرة DoS إلى ثغرة RCE يمثل لحظة حرجة تتطلب استجابة فورية من مديري الأنظمة الذين ربما تجاهلوا التحديثات السابقة.

الإصدارات المتأثرة التي تتطلب تحديثاً فورياً:

• إصدارات BIG-IP APM 17.1.x والنسخ الأقدم.
• إصدارات BIG-IP APM 16.1.x وما يسبقها.
• إصدارات BIG-IP APM 15.1.x المحددة في دليل F5 الفني.

تنصح تيكبامين جميع المؤسسات التي تعتمد على حلول F5 BIG-IP بمراجعة سجلات الأنظمة والبحث عن مؤشرات الاختراق التي شاركتها الشركة الأم، مع ضرورة تثبيت التصحيحات الأمنية دون أي تأخير لضمان سلامة البيانات الرقمية.