تخطى إلى المحتوى الرئيسي

CISA تصنف ثغرة SharePoint RCE صفراً يوم: خطر تنفيذ تعليمات عن بعد

فريق جلتش
منذ ساعتين0 مشاهدة5 دقائق
CISA تصنف ثغرة SharePoint RCE صفراً يوم: خطر تنفيذ تعليمات عن بعد

أضافت CISA ثغرة RCE صفراً يوم (CVE-2026-58644) في SharePoint إلى قائمة KEV، مؤكدة استغلالها. خطورة 9.8، تتيح تنفيذ تعليمات عن بعد، وتتطلب إصلاحاً بحلول 19 يوليو.

مقدمة تحليلية

أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يوم الخميس، 16 يوليو 2026، الثغرة الأمنية CVE-2026-58644، التي تؤثر على Microsoft SharePoint Server، ضمن قائمة الثغرات المستغلة المعروفة (KEV). تفرض CISA على وكالات الفرع التنفيذي المدني الفيدرالي (FCEB) تطبيق التحديثات الأمنية اللازمة بحلول 19 يوليو 2026. الثغرة، المصنفة بخطورة 9.8 (CVSS)، هي عيب حرج يتعلق بإلغاء تسلسل البيانات غير الموثوق بها (deserialization of untrusted data)، يتيح للمهاجمين غير المصرح لهم تنفيذ تعليمات برمجية عشوائية عن بُعد (RCE). أكدت Microsoft أن هذه الثغرة قد استُغلت كـ Zero-Day في الهجمات الفعلية قبل توفر التصحيحات، مما يشير إلى مستوى خطورة فوري ومباشر.

التحليل التقني

تتمركز الثغرة CVE-2026-58644 في آلية إلغاء تسلسل البيانات غير الموثوق بها ضمن Microsoft SharePoint Server. وفقاً لـ Microsoft، تسمح هذه الثغرة، في هجوم قائم على الشبكة، للمهاجم الذي يمتلك صلاحيات 'مالك موقع' على الأقل، بكتابة شيفرة عشوائية وحقنها وتنفيذها عن بعد على خادم SharePoint. صنفت Microsoft الهجوم بأنه منخفض التعقيد لسببين رئيسيين: لا يتطلب المهاجم معرفة مسبقة كبيرة بالنظام، ويمكنه تحقيق نجاح متكرر مع حمولة الهجوم ضد المكونات الضعيفة. كما أُشير إلى أن الثغرة قابلة للاستغلال عن بعد عبر الإنترنت، مما يوسع نطاق التهديد. تؤثر الثغرة على الإصدارات التالية من SharePoint Server:
  • Microsoft SharePoint Server Subscription Edition
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Enterprise Server 2016
جاءت التصحيحات لهذه الثغرة كجزء من تحديثات Patch Tuesday الصادرة في 14 يوليو 2026. لكن Microsoft قامت بتعديل نشرتها لتوضح أن CVE-2026-58644 قد استُغلت فعلياً في الهجمات كـ Zero-Day قبل إصدار الإصلاحات. في سياق متصل، حذرت CISA من استغلال نشط لثغرات متعددة في SharePoint Server، بما في ذلك CVE-2026-32201 وCVE-2026-45659 وCVE-2026-56164 وCVE-2026-58644. تؤثر هذه الثغرات على جميع إصدارات SharePoint Server المحلية المدعومة (Subscription Edition و2019 و2016). تُمكِّن هذه الثغرات مجتمعة الجهات التخريبية من تحقيق تنفيذ تعليمات برمجية عن بعد (RCE) وأنشطة ما بعد الاستغلال، مثل سرقة مفاتيح جهاز IIS وتنفيذ تقنيات إلغاء التسلسل لاكتساب الثبات ونشر البرمجيات الخبيثة. قدمت CISA تدابير تعزيز أمني محددة لمواجهة هذا التهديد، تتضمن:
  • تطبيق أحدث التصحيحات والتحديثات الأمنية من Microsoft، والتأكد من تثبيتها بنجاح، وتقصير دورات التصحيح حيثما أمكن.
  • التحقق من تفعيل تكامل Antimalware Scan Interface (AMSI) لكل تطبيق ويب في SharePoint.
  • مسح وإزالة آثار الاختراق، بما في ذلك أدوات جمع مفاتيح الجهاز، قبل تدوير مفاتيح جهاز IIS لتجنب سرقتها.
  • إنشاء آليات تسجيل مخصصة لاكتشاف ورصد أنشطة الاستغلال.
  • تجنب تعريض خوادم SharePoint للإنترنت مباشرة إلا عند الضرورة القصوى.
  • حظر الوصول الخارجي إلى SharePoint Central Administration، وتقييد اتصالات المزرعة وقواعد البيانات على الأنظمة المطلوبة، ومراجعة إرشادات Microsoft لتعزيز أمان SharePoint Server الخاصة بالمنافذ والخدمات وإعدادات Web.config حسب الدور.
بشكل ثانوي، أضافت CISA في نفس اليوم ثغرتين حرجتين تؤثران على Fortinet FortiSandbox (CVE-2026-25089 وCVE-2026-39808) إلى كتالوج KEV، مع نفس الموعد النهائي لوكالات FCEB.

السياق وتأثير السوق

يمثل إدراج ثغرة SharePoint RCE الحرجة (CVE-2026-58644) ضمن كتالوج KEV إشارة واضحة إلى التحديات المستمرة في أمن البنية التحتية للمؤسسات. Microsoft SharePoint Server ليس مجرد أداة داخلية؛ بل هو عمود فقري للتعاون وإدارة المحتوى لملايين المؤسسات حول العالم، بما في ذلك الكيانات الحكومية والخاصة الكبيرة. تأكيد استغلال هذه الثغرة كـ Zero-Day، قبل توفر أي تصحيحات رسمية، يُظهر مستوى النضج والخطورة الذي وصلت إليه الجهات التخريبية. لا يتعلق الأمر بالقدرة على اكتشاف الثغرات فحسب، بل بالسرعة والكفاءة في تطوير أدوات الاستغلال ونشرها على نطاق واسع. إن طبيعة الثغرة، التي تسمح بتنفيذ تعليمات برمجية عن بعد بعد مصادقة بسيطة (كمالك موقع)، تجعلها مغرية جداً للمهاجمين. لا يوجد هنا مجال للمقارنة مع حالات ضعف تحتاج إلى امتيازات عالية أو تفاعل مستخدم معقد؛ إنها نقطة دخول مباشرة إلى قلب الشبكة الداخلية. السياق الأوسع الذي قدمته CISA، بتحذيرها من استغلال متزامن لعدة ثغرات في SharePoint تهدف إلى تحقيق RCE واكتساب الثبات عبر سرقة مفاتيح IIS ونشر البرمجيات الخبيثة، يشير إلى حملات هجومية متطورة ومستمرة. هذه ليست هجمات عشوائية؛ بل هي استهداف ممنهج لبنية تحتية حيوية تُستخدم على نطاق واسع. يُظهر ذلك أن التركيز على أحدث التصحيحات ليس كافياً؛ فالكشف عن الاستغلال النشط لعدة ثغرات يتطلب نهجاً دفاعياً متعدد الطبقات، يتجاوز مجرد 'التصحيح فوراً'. يتضمن هذا تدابير مثل تفعيل AMSI، ومراقبة دقيقة لآثار الاختراق، وحماية مفاتيح IIS، وتجنب التعرض المباشر للإنترنت، وهي إجراءات تُظهر وعياً بأن الثغرات قد تُستغل قبل حتى أن تُكتشف أو تُصنف.

رؤية Glitch4Techs

تأكيد CISA على استغلال ثغرة Zero-Day حرجة (CVE-2026-58644) في Microsoft SharePoint Server، إلى جانب الثغرات المتعددة الأخرى المستغلة فعلياً، لا يترك مجالاً للتشكيك في مدى الإهمال الذي يمكن أن يتسبب به التأخر في تطبيق التصحيحات الأمنية. إن طبيعة الهجوم منخفضة التعقيد، وقابلية الاستغلال عن بعد، ونقطة الدخول التي تتطلب صلاحيات Site Owner فقط، كلها عوامل تجعل هذه الثغرة كارثية للمؤسسات التي لم تُحدث أنظمتها. الحكم واضح: المؤسسات التي تعتمد على SharePoint ولم تُطبّق التصحيحات الصادرة في 14 يوليو 2026 فوراً، أو لم تتخذ تدابير التعزيز الأمني الموصى بها من CISA، تعمل في بيئة خطرة جداً. استغلال هذه الثغرات لتحقيق RCE وسرقة مفاتيح IIS لا يمثل مجرد خرق للبيانات، بل سيطرة كاملة على أنظمة داخلية حساسة. إن فشل Microsoft في الكشف عن الاستغلال النشط لهذه الثغرة *قبل* إصدار تصحيحات Patch Tuesday يعكس قصوراً في سلاسل الإبلاغ عن التهديدات، مما يضع المؤسسات في موقف دفاعي متأخر. إن التوجيهات التي قدمتها CISA لا تمثل أفضل الممارسات الأمنية فحسب، بل هي الحد الأدنى الذي كان يجب أن يُطبق بالفعل في أي بيئة SharePoint حساسة. هذه ليست أزمة مفاجئة؛ بل هي تتويج لفشل متواصل في الحفاظ على تحديث الأنظمة، وفشل أمني أساسي في توقع واستباق الهجمات التي تستهدف البنى التحتية واسعة الانتشار.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.

مقالات قد تهمك