تخطى إلى المحتوى الرئيسي
شارك

CISA تحذر: ثغرة Lantronix EDS5000 الحرجة تستغل بنشاط الآن!

فريق جلتشمنذ ساعة0 مشاهدة6 دقائق
شارك
CISA تحذر: ثغرة Lantronix EDS5000 الحرجة تستغل بنشاط الآن!

CISA تحذر من استغلال نشط لثغرة حرجة (CVE-2025-67038) في أجهزة Lantronix EDS5000. تهدد هذه الثغرة بتنفيذ تعليمات برمجية بصلاحيات الجذر، مما يستدعي تحديثات فورية لحماية الشبكات.

مقدمة تحليلية

أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تحذيراً عاجلاً يوم الثلاثاء، لفتت فيه الانتباه إلى استغلال نشط لثغرة أمنية حرجة تؤثر على أجهزة سلسلة Lantronix EDS5000. هذه الثغرة، المصنفة تحت الرمز CVE-2025-67038 وذات درجة خطورة عالية تبلغ 9.8 ضمن نظام CVSS، تمثل تهديداً مباشراً للأنظمة المتأثرة. تحث CISA وكالات الفرع التنفيذي المدني الفيدرالي (FCEB) على تطبيق التحديثات الأمنية اللازمة بحلول 26 يونيو 2026، وذلك لمواجهة المخاطر الجسيمة المرتبطة بهذه الثغرة التي تتيح تنفيذ تعليمات برمجية عشوائية بصلاحيات مرتفعة، وتحديداً بصلاحيات الجذر (root privileges). يشير التحذير إلى أن الخطر يتجاوز مجرد إمكانية الاختراق ليطال السيطرة الكاملة على الأجهزة المتضررة، مما يؤكد على الضرورة الملحة للتصرف السريع والحاسم. تكمن خطورة هذه الثغرة في قدرتها على السماح للمهاجمين بالتحكم في الأنظمة الحساسة التي تعتمد على هذه الأجهزة، والتي غالباً ما تكون جزءاً لا يتجزأ من البنية التحتية الشبكية الحيوية.

التحليل التقني

تتمثل آلية الاستغلال في ثغرة CVE-2025-67038 في خطأ ضمن وحدة HTTP RPC التي تقوم بتنفيذ أمر shell لكتابة السجلات عند فشل مصادقة المستخدم. يوضح وصف الثغرة أن اسم المستخدم يتم ربطه مباشرة بالأمر دون أي تنظيف (sanitization)، مما يمكن المهاجمين من حقن أوامر نظام التشغيل (OS commands) بشكل عشوائي في معلمة اسم المستخدم. تُنفذ هذه الأوامر المحقونة بصلاحيات الجذر، ما يمنح المهاجم سيطرة تامة على الجهاز.
  • CVE-2025-67038: ثغرة code injection تسمح بتنفيذ أوامر عشوائية بصلاحيات الجذر.
  • وحدة HTTP RPC: العنصر البرمجي المتأثر الذي يتعامل مع سجلات فشل المصادقة.
  • آلية الاستغلال: حقن الأوامر عبر معلمة اسم المستخدم غير المُطَهَّرة في طلبات المصادقة الفاشلة.
تم الكشف عن هذه الثغرة من قبل Forescout Research Vedere Labs في أبريل 2026 كجزء من مجموعة أوسع من الثغرات الأمنية التي أطلق عليها اسم BRIDGE:BREAK، والتي استهدفت محولات serial-to-IP من Lantronix و Silex. وعلى الرغم من أن التفاصيل الدقيقة حول كيفية استغلال هذه الثغرة أو هوية الجهات الفاعلة لا تزال غير متاحة علناً في وقت التحذير الأولي، إلا أن Forescout كشفت لاحقاً عن تفاصيل إضافية. لاحظت Forescout نشاطاً يستهدف شبكاتها الوهمية (honeypots) من قبل جهة تهديد تُدعى Chaya_006، حيث تم استغلال CVE-2025-67038 في وقت مبكر من 5 أبريل 2026. هذا يعني أن الاستغلال حدث قبل أكثر من أسبوعين من الكشف العلني عن ثغرات BRIDGE:BREAK، ولكنه كان بعد أن أصدرت Lantronix التصحيحات لهذه الثغرة في 20 فبراير 2026. يشير هذا إلى أن المهاجمين ربما قاموا بهندسة عكسية للتصحيح لإعداد استغلالهم الخاص. نشأ هذا النشاط الهجومي من عناوين IP "38.207.136[.]2" و"218.13.42[.]36"، وحاول المهاجمون حقن أوامر عشوائية عن طريق إرسال طلبات معدة خصيصاً إلى نقطة النهاية "/cgi-bin/luci/rpc/auth". تزامن هذا الكشف مع تأكيد CISA لاستغلال نشط لثلاثة عيوب أمنية قصوى الخطورة في نظام التشغيل Ubiquiti UniFi OS، بعد أيام قليلة من إعلان Defused Cyber عن رصد إساءة استخدام لسلسلة تنفيذ التعليمات البرمجية عن بُعد (RCE) التي تتضمن CVE-2026-34908 وCVE-2026-34909 وCVE-2026-34910 لنشر برامج ضارة تجارية.
  • CVE-2026-34908: ثغرة improper input validation تسمح بحقن الأوامر.
  • CVE-2026-34909: ثغرة path traversal تسمح بالوصول غير المصرح به إلى الملفات.
  • CVE-2026-34910: ثغرة improper access control تسمح بإجراء تغييرات غير مصرح بها.
في وقت سابق من هذا الشهر، قدمت Bishop Fox تفاصيل حول إثبات مفهوم (PoC) يجمع بين هذه العيوب الثلاثة للحصول على shell عكسي بصلاحيات الجذر الكاملة بطلب واحد. وقد أصدرت Ubiquiti تصحيحات لهذه العيوب في أواخر الشهر الماضي.

السياق وتأثير السوق

تكتسب الثغرة الأمنية في Lantronix EDS5000 أهمية خاصة ضمن سياق أوسع من المخاطر التي تهدد أجهزة إنترنت الأشياء (IoT) والتقنيات التشغيلية (OT). تاريخياً، كانت الأجهزة المتصلة بالشبكة، خاصة تلك المستخدمة في البيئات الصناعية والبنية التحتية الحساسة، أهدافاً جذابة للمهاجمين نظراً لصعوبة تحديثها وإدارتها مقارنة بالأنظمة التقليدية. كشف Forescout عن مجموعة ثغرات BRIDGE:BREAK في أبريل 2026 يسلط الضوء على هذا الاتجاه، حيث استهدفت محولات serial-to-IP، وهي أجهزة حيوية لربط الأنظمة القديمة بالشبكات الحديثة. تأتي هذه الأحداث في وقت تتزايد فيه التهديدات السيبرانية المعقدة ضد البنية التحتية الحيوية. يُظهر استغلال CVE-2025-67038 كـ zero-day، مع قيام المهاجمين بهندسة عكسية للتصحيحات، تطوراً في تكتيكات الجهات الفاعلة. وهذا يزيد من الضغط على الشركات المصنعة والمستخدمين لتسريع عملية اكتشاف الثغرات وتطوير التصحيحات وتطبيقها. إن المقارنة مع ثغرات Ubiquiti UniFi OS تؤكد على أن هذه المشكلة ليست معزولة، بل هي جزء من نمط أوسع حيث تستغل الثغرات الحرجة في أجهزة الشبكة التي غالباً ما تكون مدمجة بشكل مركزي في البنية التحتية. وهذا يفتح الباب أمام حركة جانبية (lateral movement) واسعة داخل الشبكة، مما يضاعف من تأثير أي اختراق ناجح. تظهر بيانات Shodan وجود حوالي 31,850 جهاز OpenWRT LuCI مكشوفاً للإنترنت، منها حوالي 5,000 مصنفة كشبكات وهمية (honeypots). هذا العدد الكبير من الأجهزة المعرضة للخطر يسلط الضوء على حجم التحدي الأمني. تعني هذه الإحصائيات أن نطاق الهجمات المحتملة واسع جداً، ويمكن أن يؤثر على عدد كبير من المؤسسات والقطاعات. إن نجاح الاختراق في مثل هذه البيئات يمكن أن يؤدي إلى تعريض سرية وسلامة وتوفر الأنظمة المستهدفة للخطر بشكل كبير، وربما يتسبب في تعطيل الخدمات الحيوية أو سرقة بيانات حساسة.

رؤية Glitch4Techs

من منظور Glitch4Techs، يكشف حادثة Lantronix EDS5000 واستغلالها كـ zero-day عن فجوة حرجة في دورة حياة الأمن السيبراني: الفارق الزمني بين إصدار التصحيح الأمني والتطبيق الفعلي له، وكيف يمكن للمهاجمين استغلال هذه الفجوة. حقيقة أن المهاجمين ربما قاموا بهندسة عكسية للتصحيح الصادر في فبراير لاختلاق الاستغلال في أبريل، قبل الكشف العلني، تشير إلى مستوى عالٍ من الاحترافية والمراقبة النشطة لأحدث التحديثات الأمنية من قبل الجهات الفاعلة. هذا يضع عبئاً أكبر على المؤسسات ليس فقط لتطبيق التصحيحات بسرعة، بل أيضاً لامتلاك آليات للكشف عن أنشطة الاستغلال المحتملة حتى قبل توفر معلومات عامة عنها. تتمثل المخاوف الأمنية الرئيسية في القدرة على تنفيذ الأوامر بصلاحيات الجذر، مما يتيح للمهاجمين السيطرة الكاملة على الجهاز المستهدف. إذا كانت هذه الأجهزة جزءاً من شبكة أكبر، فإن هذا يمثل نقطة دخول حاسمة للحركة الجانبية والتسلل الأوسع. إن إمكانية استخدام اسم مستخدم بسيط كمتجه لحقن التعليمات البرمجية يبرز الحاجة الملحة إلى تطبيق مبادئ الأمن من البداية (Security by Design) وتدقيق التعليمات البرمجية بشكل صارم لضمان تنظيف المدخلات (input sanitization). يتفاقم هذا الخطر بسبب استخدام الأجهزة الافتراضية الافتراضية (default credentials) أو كلمات المرور الضعيفة، والتي لا تزال منتشرة بشكل مقلق في العديد من البيئات. للتخفيف من هذه المخاطر، توصي Glitch4Techs باتخاذ إجراءات صارمة تتجاوز مجرد تطبيق التصحيحات. يجب على المؤسسات: أولاً، التأكد من تطبيق جميع التصحيحات الأمنية لأجهزة Lantronix على الفور. ثانياً، استبدال جميع بيانات الاعتماد الافتراضية بكلمات مرور قوية ومعقدة. ثالثاً، تطبيق تجزئة الشبكة (network segmentation) لعزل الأجهزة الحساسة وتقليل نطاق الحركة الجانبية المحتملة في حالة الاختراق. رابعاً، الاستثمار في حلول المراقبة الأمنية المستمرة (continuous security monitoring) القادرة على اكتشاف السلوكيات الشاذة التي قد تشير إلى محاولات استغلال، حتى لو لم يتم تحديد الثغرة بعد. نتوقع أن يستمر هذا النمط من الاستغلال المسبق للتصحيحات في النمو، مما يجعل اليقظة الأمنية الاستباقية أمراً حتمياً للبقاء في مأمن من التهديدات المتطورة.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.