ثغرتان صفريتان بـ SonicWall SMA 1000: اختراق وصلاحيات إدارية

استُغلت ثغرتان صفريتان حرجتان في أجهزة SonicWall SMA 1000، مما سمح للمهاجمين بتنفيذ أوامر إدارية والتوغل عميقاً داخل الشبكات المؤسسية.
مقدمة تحليلية
أعلنت شركة SonicWall عن استغلال نشط لثغرتين صفريتين حرجتين تؤثران على أجهزة Secure Mobile Access (SMA) 1000، وهي بوابات وصول عن بُعد واسعة الاستخدام. الثغرتان، اللتان كشف عنهما بتاريخ 17 يوليو 2026، تتيحان للمهاجمين تنفيذ أوامر إدارية عن بُعد والتغلغل عميقاً داخل الشبكات المؤسسية. تُصنف إحدى الثغرتين بدرجة خطورة قصوى بلغت 10.0 في مقياس CVSS، مما يؤكد التأثير المدمر لهذا الكشف.
بدأت عمليات الاستغلال المستهدفة لهذه الثغرات في أواخر يونيو 2026 على الأقل، وفقاً لتقرير متابعة صادر عن شركة Rapid7 بتاريخ 15 يوليو 2026. تم إدراج كلتا الثغرتين، CVE-2026-15409 و CVE-2026-15410، في كتالوج CISA للثغرات المعروفة والمستغلة (KEV)، مما يفرض على الوكالات الفيدرالية المدنية التنفيذية تطبيق الإصلاحات بحلول 17 يوليو 2026.
التحليل التقني
تتمحور المشكلة حول ثغرتين أساسيتين، تُستغلان على الأرجح بشكل متسلسل لتحقيق أقصى قدر من الاختراق:
- CVE-2026-15409 (نقاط CVSS: 10.0): ثغرة تزوير طلبات من جانب الخادم (SSRF) تتيح لمهاجم عن بُعد غير مصادق عليه إجبار الجهاز على إرسال طلبات إلى مواقع غير مقصودة، مما يفتح الباب لاكتشاف البنية التحتية الداخلية أو استغلال خدمات داخلية أخرى.
- CVE-2026-15410 (نقاط CVSS: 7.2): ثغرة حقن تعليمات برمجية بعد المصادقة، متجذرة في Appliance Management Console (AMC). تسمح هذه الثغرة لمهاجم مصادق عليه عن بُعد بتنفيذ أوامر نظام التشغيل التعسفية بصلاحيات المسؤول تحت ظروف معينة.
بحسب SonicWall، فقد تم «التحقيق في حالات متعددة تشير إلى الاستغلال النشط للثغرات». تشير تحليلات Rapid7 إلى أن المهاجمين استخدموا الأجهزة المحيطية كنقطة وصول أولية خفية، مع تنفيذ الأوامر على نظام التشغيل عبر تجاوز آليات التحقق من المدخلات التقليدية.
بعد ترسيخ موطئ قدم على الجهاز، استخرج المهاجمون بشكل منهجي بيانات اعتماد عالية القيمة، وقواعد بيانات الجلسات النشطة، وتكوينات بذور مصادقة عامل الوقت الواحد (TOTP MFA). صُمم هذا الحصاد المحلي لضمان وصول دائم طويل الأجل، قادر على النجاة من عمليات المعالجة القياسية على مستوى الشبكة.
لم يكتفِ المهاجمون بذلك، بل قاموا بحركة جانبية، قفزوا من الجهاز المخترق مباشرة إلى الشبكة المؤسسية الداخلية. تبع ذلك عمليات مصادقة غير طبيعية على Active Directory، بدون استخدام VPN، واستهدفت وحدات التحكم الرئيسية في المجال. نشأت هذه المصادقات مباشرة من عنوان IP الداخلي للجهاز، مستخدمة أسماء عملاء غير نموذجية وغير تابعة للشركة (مثل "kali") ضمن سياق حساب خدمة LDAP المدمج بالجهاز. هذا السلوك الفريد، المتمثل في الحركة الجانبية المباشرة على مستوى الجهاز دون نفق VPN نشط مقابل، أكد أن الجهاز نفسه تعرض للاختراق الكامل وكان بمثابة باب خلفي غير مراقب للبنية التحتية لدليل الشركة.
يتوفر الإصلاح في الإصدارات التالية:
- 12.4.3-03453 (hotfix على المنصة) والإصدارات الأعلى.
- 12.5.0-02835 (hotfix على المنصة) والإصدارات الأعلى.
تنصح SonicWall بالبحث عن مؤشرات الاختراق (IoCs) التالية:
- وجود طلبات إلى /__api__/login أو /__api__/logout بحالة http 200 في سجل extraweb_access.log.
- وجود طلبات إلى /wsproxy بمعلمات مضيف مشبوهة بحالة http 101 في سجل extraweb_access.log.
- وجود تراجعات للإصلاحات العاجلة (hotfix rollbacks) بأسماء مسار تجاوزية (path traversal names) في سجل ctrl-service.log.
- احتواء ملف /var/lib/unit/conf.json على مسارات لـ /__api__/login أو /__api__/logout، علماً بأن هذه المسارات لا توجد في التكوين المشروع.
في حالة اكتشاف أي من هذه المؤشرات، يُنصح بإعادة تهيئة الأجهزة المادية أو إعادة نشر الأجهزة الافتراضية، وتغيير كلمات مرور المستخدمين والمسؤولين، وإعادة تعيين رموز كلمات المرور لمرة واحدة المستندة إلى الوقت (TOTP).
السياق وتأثير السوق
تمثل أجهزة SonicWall SMA 1000 نقطة وصول حيوية للعديد من المؤسسات، حيث توفر الوصول عن بُعد الآمن لموظفيها. يضع استغلال هذه الثغرات الصفرية هذه الأجهزة في خانة نقاط الفشل الحرجة. على عكس الاختراقات التي تستهدف نقاط النهاية الفردية، يسمح اختراق جهاز محيطي مثل SMA 1000 للمهاجمين بتجاوز طبقات متعددة من الدفاعات الأمنية دفعة واحدة، ويدخلهم مباشرة إلى قلب الشبكة المؤسسية.
التأثير على السوق مباشر وخطير. تعتمد الشركات على بائعي الأمن السيبراني مثل SonicWall لتوفير حلول قوية وموثوقة. يكشف هذا الاختراق عن ثغرات عميقة في تصميم أو تنفيذ أجهزة يُفترض أنها توفر حماية متقدمة. يضع هذا الحادث SonicWall تحت مجهر التدقيق، وقد يؤثر على ثقة العملاء، خاصة في قطاع الأمن السيبراني الذي يعتمد بشكل كبير على السمعة.
القدرة على استخراج بذور MFA وجلسات المستخدمين النشطة تحوّل ما كان يُعتبر نقطة ضعف فردية إلى اختراق شامل لنموذج الثقة في المؤسسة. فالمصادقة متعددة العوامل تُعد الركيزة الأساسية للأمن الحديث، والقدرة على تجاوزها عبر جهاز يُفترض أنه يحميها هو بمثابة فشل ذريع. هذا لا يدفع إلى إعادة تقييم SonicWall فحسب، بل يثير تساؤلات أوسع حول مرونة حلول الوصول عن بُعد بشكل عام، مما قد يؤدي إلى تحوّل في استراتيجيات الدفاع السيبراني وتبني نماذج Zero Trust أكثر صرامة.
رؤية Glitch4Techs
يمثل استغلال الثغرات الصفرية في SonicWall SMA 1000 فشلاً كارثياً في أمن المحيط. إن جهازاً مصمماً لتأمين الوصول عن بُعد أصبح هو نفسه باباً خلفياً غير مراقب للشبكة الداخلية، وهذا يدل على إهمال هيكلي في تصميم الأمن. القدرة على استخراج بذور MFA والتنقل الجانبي مباشرة من عنوان IP الداخلي للجهاز باستخدام أسماء عملاء مثل 'kali' لا تشير إلى مجرد ثغرة، بل تؤكد على افتقار الجهاز للعزل المناسب وعدم كفاية آليات الحماية الداخلية التي كان يجب أن تمنع تحول الجهاز نفسه إلى منصة هجوم متكاملة. هذا الحادث يقوض الثقة الأساسية في أجهزة الحماية المخصصة ويثبت أن الاستثمار في حلول محيطية معقدة دون تأمين عميق لمكوناتها الداخلية هو رهان خاسر، تاركاً المؤسسات مكشوفة أمام هجمات متطورة كان يجب أن تُحبط عند البوابة.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.



