هجمات خطيرة تستغل ثغرات SolarWinds للتحكم بالخوادم

كشفت شركة مايكروسوفت مؤخراً عن حملة هجمات إلكترونية متعددة المراحل تستهدف خوادم SolarWinds Web Help Desk المكشوفة عبر الإنترنت، حيث يستغل المخترقون ثغرات أمنية للحصول على وصول أولي والتحرك داخل الشبكات للسيطرة على الأصول الحساسة.

أشار فريق أبحاث Microsoft Defender للأمن السيبراني إلى أن المهاجمين استغلوا الحالات المكشوفة للبرنامج للتحرك أفقياً عبر شبكات المؤسسات. ومع ذلك، لم يتم التأكد بشكل قاطع مما إذا كانت الأنشطة الخبيثة قد استغلت الثغرات المكتشفة حديثاً أو ثغرات قديمة تم تصحيحها سابقاً، نظراً لأن الهجمات وقعت على أجهزة كانت عرضة لكلا النوعين في آن واحد.

ما هي الثغرات الأمنية التي تهدد SolarWinds؟

تتنوع الثغرات التي يستهدفها القراصنة بين تجاوز ضوابط الأمان وتنفيذ أكواد برمجية خبيثة عن بعد، مما يشكل خطراً جسيماً على البيانات. وتشمل الثغرات الرئيسية التي تم رصدها ما يلي:

• CVE-2025-40551: ثغرة خطيرة جداً (بدرجة خطورة 9.8) تتعلق بإلغاء تسلسل البيانات غير الموثوقة، مما قد يؤدي إلى تنفيذ تعليمات برمجية عن بعد (RCE).
• CVE-2025-40536: ثغرة تجاوز أمان (بدرجة خطورة 8.1) تسمح للمهاجمين غير المصادق عليهم بالوصول إلى وظائف مقيدة داخل النظام.
• CVE-2025-26399: ثغرة سابقة تم إصدار تصحيح لها، ولكنها لا تزال تُستغل في الأنظمة التي لم يتم تحديثها.

وقد أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الثغرة CVE-2025-40551 إلى قائمة الثغرات المستغلة المعروفة، مطالبة الوكالات الفيدرالية بتطبيق الإصلاحات اللازمة فوراً.

وبحسب ما رصده موقع تيكبامين، فإن الاستغلال الناجح لهذه الثغرات سمح للمهاجمين بتحقيق تنفيذ تعليمات برمجية عن بعد دون الحاجة للمصادقة، وتشغيل أوامر تعسفية ضمن سياق تطبيق WHD.

كيف يتم تنفيذ الهجوم والسيطرة على النظام؟

بمجرد اختراق الخادم، يستخدم المهاجمون أدوات النظام المدمجة لتوسيع نفوذهم وتثبيت برمجيات خبيثة تضمن لهم البقاء داخل الشبكة لفترات طويلة. تتضمن مراحل الهجوم الخطوات التالية:

• استخدام PowerShell للاستفادة من خدمة النقل الذكي في الخلفية (BITS) لتحميل الحمولات الخبيثة وتشغيلها.
• تنزيل مكونات شرعية مرتبطة ببرنامج Zoho ManageEngine، وهو حل لإدارة ومراقبة الأنظمة عن بعد، لاستخدامه كأداة للتحكم المستمر في النظام المصاب.
• تنفيذ هجمات DCSync لمحاكاة وحدة تحكم المجال (Domain Controller) وطلب كلمات مرور حساسة وبيانات اعتماد من قاعدة بيانات Active Directory.

ما هي خطوات الحماية من اختراق SolarWinds؟

لمواجهة هذه التهديدات المتزايدة، يشدد خبراء الأمن الرقمي على ضرورة اتخاذ إجراءات فورية لحماية البنية التحتية للمؤسسات. إليكم أبرز التوصيات الأمنية:

• تحديث جميع نسخ SolarWinds Web Help Desk إلى أحدث إصدار فوراً لإغلاق الثغرات المعروفة.
• البحث عن أي أدوات إدارة عن بعد (RMM) غير مصرح بها وإزالتها من الشبكة.
• عزل الأجهزة التي يشتبه باختراقها لمنع انتشار الهجوم إلى باقي أجزاء الشبكة.
• تغيير كلمات مرور حسابات الخدمة والمسؤولين بشكل دوري وتفعيل المصادقة الثنائية.

يجب على مديري الأنظمة البقاء يقظين ومراجعة سجلات النشاط بانتظام لاكتشاف أي سلوك مشبوه، حيث أن سرعة الاستجابة تلعب دوراً حاسماً في تقليل الأضرار الناجمة عن هذه الهجمات السيبرانية.