CISA تحذر: ثغرة تنفيذ تعليمات عن بعد في SharePoint تستغل بنشاط

CISA تحذر من استغلال نشط لثغرة RCE خطيرة في Microsoft SharePoint (CVE-2026-45659)، وتأمر الوكالات الفيدرالية بالترقيع العاجل. يهدد هذا الضعف بتنفيذ تعليمات برمجية عن بعد على آلاف الخوادم المكشوفة.
مقدمة تحليلية
أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تحذيراً عاجلاً يوم الأربعاء، يكشف أن الجهات الخبيثة بدأت بالفعل في استغلال ثغرة أمنية عالية الخطورة تتعلق بتنفيذ تعليمات برمجية عن بعد (RCE) في Microsoft SharePoint. تحمل هذه الثغرة المعرف CVE-2026-45659، وتصنف بأنها ناتجة عن ضعف في إزالة تسلسل البيانات غير الموثوق بها، مما يسمح للمهاجمين ذوي الامتيازات المنخفضة بتنفيذ تعليمات برمجية عشوائية على خوادم SharePoint غير المحدثة. لا تتطلب الهجمات تفاعلاً من المستخدم وتمتاز بتعقيد منخفض، مما يزيد من خطورتها.
تُعد هذه الثغرة بمثابة ناقوس خطر للمؤسسات التي تعتمد على SharePoint، حيث أضافتها CISA إلى كتالوج الثغرات الأمنية المعروفة المستغلة (KEV) الخاص بها. وقد أمرت الوكالة الهيئات التنفيذية المدنية الفيدرالية (FCEB) بتأمين خوادمها المتأثرة بحلول يوم السبت، بموجب توجيهات التشغيل الملزمة (BOD) 26-04. هذا التدخل السريع من CISA يؤكد على الإمكانية العالية للاستغلال الواسع لهذه الثغرة والتهديد الوشيك الذي تشكله على البنية التحتية الحساسة.
التأثير الفوري لهذه الثغرة يعني أن أي مؤسسة لم تقم بتطبيق التحديثات الأمنية الصادرة من Microsoft في 21 مايو قد تكون عرضة للاختراق. يمكن للمهاجمين، حتى بأقل الصلاحيات (مثل صلاحيات عضو موقع)، الوصول إلى خوادم SharePoint عن بعد وتنفيذ تعليمات برمجية، مما قد يؤدي إلى اختراق كامل للنظام وسرقة البيانات الحساسة أو تعطيل الخدمات.
التحليل التقني
تتمحور الثغرة CVE-2026-45659 حول ضعف حرج في SharePoint يكمن في عملية إزالة تسلسل البيانات غير الموثوق بها. تسمح هذه الثغرة للمهاجم بتمرير بيانات مُصاغة خصيصاً إلى تطبيق SharePoint، والتي عند فك تسلسلها، يتم تفسيرها وتنفيذها كتعليمات برمجية على الخادم المستهدف. تشرح Microsoft أن الهجوم يتميز بالخصائص التالية:
- المعرف: CVE-2026-45659
- النوع: Remote Code Execution (RCE)
- الآلية: Deserialization of untrusted data
- الامتيازات المطلوبة: منخفضة (Site Member permissions - PR:L)
- ناقل الهجوم: شبكة (AV:N)، قابل للاستغلال عن بُعد من الإنترنت
- تعقيد الهجوم: منخفض (AC:L)، لا يتطلب معرفة مسبقة كبيرة بالنظام ويمكن تكرار النجاح
- تفاعل المستخدم: غير مطلوب
- الإصدارات المتأثرة:
- SharePoint Enterprise Server 2016
- SharePoint Server 2019
- SharePoint Server Subscription Edition
لقد أصدرت Microsoft تحديثات أمنية لمعالجة هذه الثغرة في 21 مايو، ولكنها أشارت إلى أن CVE-2026-45659 قد تم إغفالها عن طريق الخطأ من تحديثات الأمان لشهر مايو 2026. هذا التأخير المؤسف في إصدار التحديث أتاح نافذة زمنية للمهاجمين لبدء استغلال الثغرة قبل أن تتمكن العديد من المؤسسات من تطبيق التصحيحات. إن طبيعة الهجوم منخفضة التعقيد ومنخفضة الامتيازات تجعلها جذابة للغاية للمهاجمين، حيث يمكنهم تحقيق اختراق ناجح بأقل جهد ممكن.
السياق وتأثير السوق
يضع تحذير CISA الأخير هذه الثغرة ضمن سياق أوسع لتصاعد الهجمات على البرمجيات المؤسسية، خاصة تلك التي تعتبر حيوية لعمليات الشركات والحكومات. يُعد SharePoint أحد الركائز الأساسية للتعاون وإدارة المستندات في العديد من المؤسسات الكبيرة، مما يجعله هدفاً ذا قيمة عالية للمهاجمين. أضافت CISA الثغرة إلى كتالوج KEV، وهو قائمة بالثغرات التي تم التأكد من استغلالها فعلياً في الهجمات، مما يشير إلى أن التهديد ليس نظرياً بل حقيقياً وفعالاً.
تُظهر البيانات من مجموعة Shadowserver لمراقبة أمن الإنترنت أن هناك أكثر من 10,000 خادم SharePoint مكشوف على الإنترنت حالياً. على الرغم من عدم وجود معلومات حول عدد هذه الخوادم التي تم تأمينها ضد هجمات CVE-2026-45659، فإن هذا العدد الكبير يشير إلى أن نطاق الاستغلال المحتمل واسع النطاق. تُذكر هذه الحالة بثغرات SharePoint السابقة، مثل تلك التي تم معالجتها في Patch Tuesday لشهر أبريل 2026، والتي كانت مستغلة في هجمات صفرية (zero-day attacks).
منذ عام 2021، صنفت CISA 11 ثغرة أمنية في Microsoft SharePoint تم استغلالها بالفعل، وسبعة منها استُخدمت في هجمات برامج الفدية. هذا السجل يبرز SharePoint كهدف متكرر ومفضل للجهات الخبيثة، مما يؤكد الحاجة الملحة لإدارة الثغرات الأمنية بشكل استباقي ومستمر. الضغط على فرق تكنولوجيا المعلومات والأمن للامتثال لتوجيهات CISA، لا سيما في القطاع الحكومي، يعكس جدية التهديد وتأثيره المحتمل على الأمن القومي والبيانات الحساسة.
رؤية Glitch4Techs
من منظور Glitch4Techs، تُظهر هذه الثغرة والاستغلال النشط لها عدة نقاط مثيرة للقلق. أولاً، إن إغفال ثغرة بهذا الحجم من حزمة تحديثات أمنية سابقة يثير تساؤلات حول عمليات ضمان الجودة والاكتشاف داخل Microsoft نفسها. هذا النوع من الأخطاء يمكن أن يمنح المهاجمين نافذة حرجة للاستغلال قبل أن يتمكن المستخدمون من حماية أنفسهم.
ثانياً، بالنظر إلى طبيعة الثغرة — امتيازات منخفضة، تعقيد منخفض، وهجمات شبكية — فإنها تمثل وصفة مثالية لهجمات واسعة النطاق. قد لا تقتصر الأضرار على مجرد اختراق البيانات، بل يمكن أن تمتد إلى تعطيل كامل للأنظمة أو استخدام خوادم SharePoint كجزء من شبكات الروبوتات (botnets) أو كنقاط دخول لهجمات أعمق داخل الشبكات المؤسسية. المخاوف الأمنية تتضاعف مع حقيقة أن Shadowserver رصدت آلاف الخوادم المكشوفة، مما يجعلها أهدافاً سهلة للمجموعات الإجرامية التي تبحث عن فرص سريعة للاستغلال.
ثالثاً، بينما يركز توجيه CISA على الهيئات الفيدرالية، يجب على جميع المنظمات التي تستخدم Microsoft SharePoint أن تتعامل مع هذا التحذير بأقصى درجات الجدية. إن عدم الالتزام بالترقيع الفوري قد يؤدي إلى عواقب وخيمة، بما في ذلك خروقات البيانات، خسارة الثقة، وتكاليف استجابة باهظة للحوادث. نتوقع أن نشهد ارتفاعاً في محاولات الاستغلال لهذه الثغرة، خاصة من قبل مجموعات برامج الفدية التي تسعى دائماً لاستغلال الثغرات سهلة الاختراق في البنية التحتية الحرجة.
لذلك، تدعو Glitch4Techs جميع مسؤولي تكنولوجيا المعلومات والأمن إلى التحقق فوراً من حالة خوادم SharePoint لديهم، وتطبيق التصحيحات الأمنية الأخيرة. يجب أيضاً النظر في إجراء عمليات فحص للبحث عن أي علامات استغلال محتملة إذا لم يتم التحديث بعد. الإجراء الاستباقي هو خط الدفاع الأول ضد التهديدات السيبرانية المتطورة باستمرار.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.