ثغرة Chrome صفرية تستغل بنشاط وتصيب شركات كبرى: إليك التفاصيل

مقدمة تحليلية

هذا الأسبوع، تصدرت الأخبار الأمنية سلسلة من الاختراقات الخطيرة التي تؤكد مجدداً على طبيعة التهديدات السيبرانية المتطورة. في صدارتها، كشفت Google عن إصلاح عاجل لثغرة صفرية (0-day) في متصفح Chrome، تحمل المعرف CVE-2026-11645، والتي يجري استغلالها بنشاط في هجمات فعلية. لم تكن هذه الثغرة الوحيدة، فلقد استغلت عصابات إجرامية مثل ShinyHunters ثغرة صفرية حرجة (CVE-2026-35273) في Oracle PeopleSoft، مما سمح لها باختراق شبكات مؤسسية واسعة، خصوصاً في قطاع التعليم العالي. بالإضافة إلى ذلك، حذرت Check Point من استغلال نشط لثغرة أمنية عالية الخطورة (CVE-2026-50751) في حلول VPN الخاصة بها. إن هذه التطورات ليست مجرد حوادث متفرقة، بل هي مؤشرات واضحة على أن الهجمات السيبرانية أصبحت أسرع، وأكثر تنوعاً، وتستهدف نقاط ضعف تتراوح بين الثغرات الحديثة وسوء التكوينات القديمة والبرامج المهملة. يواجه العالم الرقمي مشهد تهديدات تتسم بالذكاء الاصطناعي الذي يستخدم كطعم للإيقاع بالضحايا، واستغلال متزايد لسلاسل التوريد البرمجية، وتكتيكات متطورة لتجاوز أنظمة الكشف. هذه الموجة من الاختراقات تُسلط الضوء على فجوة متزايدة بين سرعة اكتشاف الثغرات وتطبيق التصحيحات وبين قدرة المهاجمين على استغلالها بفعالية، مما يضع المؤسسات تحت ضغط مستمر لتحديث دفاعاتها وتكييفها مع بيئة التهديدات الحالية.

التحليل التقني

شهد هذا الأسبوع الكشف عن تفاصيل فنية مثيرة للقلق حول العديد من الثغرات والاستغلالات.

• ثغرة Google Chrome الصفرية (CVE-2026-11645): تُعد هذه الثغرة من نوع تجاوز الوصول للذاكرة (out-of-bounds memory access) في محرك V8 الخاص بـ Chrome، وهو المسؤول عن تشغيل JavaScript و WebAssembly. صنفت الثغرة بخطورة عالية (CVSS score: 8.8) وأكدت Google وجود استغلال نشط لها في 'البرية'. يأتي هذا التصحيح ضمن حزمة تحديثات أمنية لمعالجة 74 ثغرة، وهي الخامسة من نوعها التي يجري استغلالها بنشاط في Chrome منذ بداية العام، مما يؤكد على أهمية التحديثات الدورية والمتسارعة للمتصفحات.
• ثغرة Oracle PeopleSoft الصفرية (CVE-2026-35273): استغلت عصابة ShinyHunters (المعروفة أيضاً باسم UNC6240) ثغرة عدم مصادقة خطيرة (missing authentication for a critical function) في Oracle PeopleSoft Enterprise PeopleTools. هذه الثغرة ذات تصنيف خطورة مرتفع جداً (CVSS score: 9.8) وتسمح لمهاجم غير مصادق بالاستيلاء الكامل على النظام. رصدت Google Mandiant نشاط الاستغلال بين 27 مايو و 9 يونيو 2026، وقد استهدفت الحملة بشكل أساسي قطاع التعليم العالي، حيث كانت 68% من أكثر من 100 مؤسسة تم إخطارها هي جامعات وكليات. أضافت وكالة CISA الأمريكية هذه الثغرة إلى قائمة الثغرات المعروفة المستغلة (KEV)، مطالبة الوكالات الفيدرالية بتطبيق التصحيحات بحلول 15 يونيو 2026. بعد الاختراق، لوحظ أن المهاجمين قاموا بعمليات استطلاع داخلية باستخدام MeshCentral، وحركة جانبية، وابتزاز للبيانات، وتم نشر البيانات المسروقة على موقع تسريب البيانات الخاص بـ ShinyHunters (DLS).
• اختراق حزم Arch Linux AUR: تمكن مهاجمون مجهولون من اختراق المئات من الحزم الشرعية ولكن المهملة في مستودع مستخدمي Arch (AUR)، وتعديلها بسكريبتات تثبيت مسبقة تقوم بتنزيل وتنفيذ حزمة npm خبيثة تسمى `atomic-lockfile`. تحتوي هذه الحزمة على حمولة Linux ذات وظائف لجمع الاعتمادات، والتخفي، ومكافحة التصحيح، واختراق البيانات المحتمل. ارتفع عدد الحزم المتأثرة من 400 إلى أكثر من 1500، قبل أن يقوم مطورو Arch Linux بحذف جميع الالتزامات الخبيثة المعروفة بحلول 12 يونيو 2026.
• تفكيك Outsider PhaaS: أعلن مكتب التحقيقات الفيدرالي (FBI) عن تفكيك عدد من النطاقات المرتبطة بـ Outsider، وهي حزمة برامج التصيد كخدمة (PhaaS) صينية يُقدر أنها مسؤولة عن سرقة 3.87 مليون بطاقة ائتمان وخسائر تقدر بـ 1.9 مليار دولار منذ يوليو 2023. رفعت Google دعوى قضائية ضد المشغلين الذين استخدموا Gemini لإنشاء صفحات تصيد احتيالية ونشر هجمات تصيد عبر الرسائل القصيرة (smishing). كانت الحزمة تكلف 88 دولاراً في الأسبوع أو 200 دولار شهرياً، وتوفر الوصول إلى أكثر من 290 قالباً جاهزاً يحاكي مواقع ويب شرعية لسرقة كلمات المرور ورموز المصادقة الثنائية والمعلومات المالية.
• ثغرة Check Point VPN الحرجة (CVE-2026-50751): حذرت Check Point من استغلال نشط لثغرة خطيرة (CVSS score: 9.3) تؤثر على عمليات نشر Remote Access VPN و Mobile Access التي تستخدم بروتوكول تبادل المفاتيح IKEv1 القديم. هذه الثغرة هي ضعف في تدفق المنطق الخاص بالتحقق من الشهادات، مما يسمح لمهاجم عن بعد غير مصادق بتجاوز مصادقة المستخدم وإنشاء اتصال VPN دون كلمة مرور صالحة. تم رصد نشاط الاستغلال منذ 7 مايو 2026، وتزايد في يونيو، واستهدف 'بضع عشرات' من المنظمات عالمياً، وفي بعض الحالات ارتبط بمجموعة Qilin ransomware.
• برمجيات سرقة المعلومات على macOS: تستخدم برامج التثبيت الخادعة للبرامج الشائعة لدفع برمجيات سرقة المعلومات إلى مستخدمي macOS. تبدأ سلسلة العدوى عادة داخل متصفح الويب، حيث يعتمد المهاجمون بشكل كبير على تسميم نتائج محركات البحث (SEO poisoning) أو زرع روابط مخترقة عبر شبكات التورنت ومنتديات البرامج المقرصنة. تحاول ملفات DMG هذه تجاوز حماية Apple Gatekeeper. شكلت برمجيات سرقة المعلومات أكثر من 65% من البرامج الضارة الجديدة المبلغ عنها على macOS في عام 2024.
• استغلال UniFi OS (CVE-2026-34908, CVE-2026-34909, CVE-2026-34910): تم استغلال سلسلة ثغرات تنفيذ التعليمات البرمجية عن بُعد (RCE) في UniFi OS Server لتنفيذ تعليمات برمجية غير مصادقة بصلاحيات root، مما أدى إلى نشر برمجيات خبيثة شائعة.
• حصان طروادة MagicAd على Android: اكتشف حصان طروادة جديد يدعى MagicAd يتجاوز قيود نظام التشغيل لعرض إعلانات في الخلفية. يتم توزيع البرمجية الخبيثة عبر تطبيقات في GetApps (كتالوج تطبيقات Xiaomi الرسمي) ومتجر Samsung Galaxy Store، وقد عثر عليها في أكثر من 50 لعبة وتطبيق.
• حملة SHEET#CREEP وهجمات RAT عبر Google Sheets: استهدفت حملة تجسس سيبراني مستمرة تدعى SHEET#CREEP كيانات حكومية باستخدام طعم تصيد ISO مرتبط بالدبلوماسية لتوزيع حصان طروادة للوصول عن بعد (RAT) مكتوب بلغة C#. يستغل هذا الـ RAT واجهة برمجة تطبيقات Google Sheets كقناة تحكم وقيادة (C2)، مع المصادقة عبر مفتاح خاص لحساب خدمة GCP مضمن، واستخدام علامات تبويب جداول بيانات فردية لكل ضحية للاتصال ثنائي الاتجاه.
• برمجيات خبيثة عبر حزم npm وPyPI: كشفت حملات متعددة عن استخدام حزم npm و PyPI ضارة لاستهداف العملات المشفرة، وجمع الاعتمادات، وسرقة المحافظ، وتوصيل الحمولة عن بعد. من الأمثلة البارزة حملة 'Solana FakeFix' التي استهدفت مطوري Solana، وحملة 'CMS Windows Loader'، بالإضافة إلى اكتشاف برامج ضارة في حزمتي `dbmux` (2.2.5 و 1.0.5) في npm.
• استخدام Easyupload.io في هجمات الفدية (Akira): في إحدى هجمات برمجيات الفدية التي حققت فيها Huntress، قام مهاجم بالوصول إلى hypervisor للضحية، وأنشأ جهازاً افتراضياً جديداً كموقع مؤقت لإطلاق برمجية فدية Akira. استخدم المهاجم متصفح Edge للبحث عن Easyupload.io، وهو موقع لتحميل الملفات، بهدف استخدامها لسرقة البيانات قبل تشفيرها.

السياق وتأثير السوق

تعكس التطورات الأمنية لهذا الأسبوع نمطاً مستمراً من التحديات، حيث يتزايد اعتماد المهاجمين على نقاط الضعف القديمة والمستغلة، بالإضافة إلى التكيف السريع مع التقنيات الحديثة. تاريخياً، استغلت العصابات الإجرامية الثغرات في البرمجيات الشائعة لسنوات، ولكن ما يميز المرحلة الحالية هو السرعة الفائقة التي يتم بها استغلال الثغرات بعد الكشف عنها. يُعد ظهور وتطور سوق 'التصيد كخدمة' (PhaaS) مثل Outsider، بالإضافة إلى شبكات الضمان الصينية غير المشروعة (Chinese-language guarantee marketplaces) مثل HuiOne و Tudou، دليلاً على تزايد احترافية وتعقيد الجريمة السيبرانية. هذه المنصات، التي لها جذور في نماذج الثقة التجارية المشروعة كـ Alipay، أصبحت تسهل بيع خدمات غسيل الأموال، والبيانات المسروقة، وأدوات الاحتيال، وحتى البنية التحتية لعمليات الاتجار بالبشر. على الرغم من حملات التفكيك، فإن هذه الأسواق تتجزأ وتتكاثر بسرعة، مستغلة منصات مثل Telegram لمرونتها وقدرتها على التكيف. كما أن استخدام الذكاء الاصطناعي كـ 'طعم' في حملات التصيد والاحتيال، كما حذرت Microsoft، يمثل تطوراً خطيراً. المهاجمون يستغلون الاهتمام المتزايد بالذكاء الاصطناعي لإنشاء إغراءات أكثر إقناعاً، سواء كان ذلك من خلال الصفحات المزورة المستوحاة من ChatGPT و Claude، أو الإعلانات الخبيثة لتطبيقات الذكاء الاصطناعي. هذا يرفع مستوى التعقيد في الكشف عن هجمات الهندسة الاجتماعية ويتطلب وعياً أمنياً أعلى بكثير من المستخدمين. تتضح أيضاً مخاطر سلاسل التوريد البرمجية من خلال اختراق حزم Arch Linux AUR وحزم npm/PyPI الضارة التي تستهدف مطوري العملات المشفرة. تُظهر هذه الحوادث كيف يمكن لضعف واحد في مكون برمجي أن يعرض عدداً هائلاً من الأنظمة للخطر. يشير تحذير Palo Alto Networks Unit 42 بشأن استغلال خدمات تسجيل السحابة (Cloud Logging Services) إلى أن المهاجمين لا يستهدفون الأنظمة التشغيلية فحسب، بل يحاولون أيضاً التلاعب بآليات الكشف والمراقبة للتخفي والحفاظ على وجود مستمر داخل بيئات الضحايا. إن هذه التطورات تضع عبئاً أكبر على أقسام الأمن لتبني نهج 'الثقة الصفرية' وتعزيز المراقبة الشاملة على جميع المستويات.

رؤية Glitch4Techs

تُظهر الأحداث الأمنية لهذا الأسبوع بوضوح أن التحديات الأمنية ليست مجرد قضايا تقنية بحتة، بل هي مشكلة إدارية وثقافية أيضاً. الخلاصة التي يمكن استخلاصها هي أن المهاجمين نادراً ما يحتاجون إلى 'سحر' تقني متطور. بدلاً من ذلك، يعتمدون على الثغرات القديمة، والبرامج المهملة، والتكوينات الافتراضية الضعيفة، والفرق المنهكة التي تفوتها التحديثات أو لا تولي اهتماماً كافياً لنظام 'منسي'. أحد أبرز المخاوف هو الفجوة المتزايدة بين سرعة إصدار التصحيحات وسرعة استغلال المهاجمين لها. ما يسمى بـ 'windows of vulnerability' – النافذة الزمنية بين اكتشاف الثغرة وتطبيق التصحيح – تتقلص بشكل مطرد. هذا يعني أن المؤسسات يجب أن تنتقل من نهج رد الفعل إلى نهج استباقي للغاية، مع التركيز على التصحيح السريع، وإدارة الأصول الفعالة لتحديد الأنظمة المهملة، والتدريب المستمر على الوعي الأمني. كما تبرز الحاجة الملحة إلى تقييم شامل لأمن سلسلة التوريد البرمجية. فالاعتماد على حزم برمجية خارجية، خاصة تلك التي قد تكون مهملة أو غير مراقبة، يمثل نقطة ضعف حرجة يمكن للمهاجمين استغلالها بسهولة. يجب على المؤسسات تطبيق عمليات فحص صارمة للحزم الخارجية ومراقبتها بحثاً عن أي تعديلات خبيثة. في ظل انتشار أدوات الذكاء الاصطناعي، يجب على المؤسسات أيضاً أن تتبنى استراتيجيات قوية لمنع تسرب البيانات، خاصة مع ميل الموظفين لاستخدام أدوات الذكاء الاصطناعي العامة في مهام العمل. يتطلب هذا الأمر فرض ضوابط على مستوى المتصفح وتثقيف الموظفين حول المخاطر المرتبطة بمشاركة معلومات الشركة الحساسة مع هذه الأدوات. التحدي لا يكمن فقط في اكتشاف الهجمات، بل في فهم وتوقع سلوكيات المهاجمين وكيفية استغلالهم لكل من التكنولوجيا الحديثة ونقاط الضعف البشرية والتنظيمية. يجب على فرق الأمن السيبراني أن تكون في طليعة هذه المعركة، ليس فقط من خلال تطبيق أحدث التقنيات، ولكن أيضاً من خلال بناء ثقافة أمنية قوية داخل المؤسسات.