الأمن السيبراني
ثغرة F5 BIG-IP APM.. من “تعطيل الخدمة” إلى “تنفيذ الأوامر” والمهاجمون يستغلونها لنشر “ويب شيل”
تقرير فريق أخبار تك
في تطور خطير كشف عنه الأسبوع الماضي، أعادت شركة F5 Networks تصنيف ثغرة أمنية كانت تُعتبر مجرد “تعطيل للخدمة” (Denial-of-Service) إلى ثغرة حرجة من نوع “تنفيذ الأوامر عن بُعد” (Remote Code Execution – RCE)، بعد اكتشاف استغلالها الفعلي في الهجمات الإلكترونية.
الثغرة، التي تحمل الرقم CVE-2025-53521، تؤثر على نظام BIG-IP Access Policy Manager (APM)، وهو حل مركزي تستخدمه المؤسسات الكبرى لإدارة الوصول إلى شبكاتها وتطبيقاتها وواجهات برمجة التطبيقات (APIs). وقد حذرت الشركة من أن المهاجمين ينشرون الآن “ويب شيل” (Webshells) – وهي أبواب خلفية خبيثة – على الأجهزة غير المحدثة، مما يمنحهم سيطرة كاملة على الأنظمة المخترقة.
من DoS إلى RCE.. كيف تغير تقييم الخطر؟
التصنيف القديم (أكتوبر 2025)
عند اكتشافها في أكتوبر 2025، صُنفت الثغرة على أنها مشكلة “تعطيل خدمة” (DoS) فقط. هذا يعني أن المهاجم كان يمكنه، نظرياً، التسبب في انهيار النظام أو تعطيله، لكن ليس أكثر. مع درجة خطورة 8.7 على مقياس CVSS، لم تكن الأولوية القصوى لفرق تقنية المعلومات في ذلك الوقت.
التصنيف الجديد (مارس 2026)
بعد الحصول على “معلومات جديدة” في مارس 2026، أعادت F5 تصنيف الثغرة إلى “تنفيذ أوامر عن بُعد” (RCE) مع درجة خطورة 9.8 (على مقياس CVSS v3.1).
الفرق جوهري:
- DoS: المهاجم يعطل الخدمة فقط.
- RCE: المهاجم ينفذ أوامر ضارة على النظام البعيد، ويتمتع بصلاحيات عالية، ويمكنه تثبيت برمجيات خبيثة، وسرقة البيانات، والتنقل داخل الشبكة.
كيف تعمل الثغرة؟
بحسب التحذيرات الرسمية، تحدث هذه الثغرة في عملية apmd، وهي المسؤولة عن معالجة حركة المرور الحية (Live Traffic) على أجهزة BIG-IP APM التي تم تكوين سياسة وصول (Access Policy) عليها.
المهاجم غير الموثّق (بدون حاجة إلى اسم مستخدم أو كلمة مرور) يمكنه إرسال حزمة بيانات ضارة مصممة خصيصاً إلى جهاز BIG-IP. هذه الحزمة تخدع النظام لتنفيذ أوامر عشوائية بصلاحيات عالية.
ماذا يفعل المهاجمون بعد الاختراق؟
1. نشر “ويب شيل” (Webshell) – الباب الخلفي الصامت
بمجرد استغلال الثغرة، يقوم المهاجمون بنشر برمجيات خبيثة تُعرف باسم “ويب شيل” (Webshell). هذه الأداة تعمل كباب خلفي (Backdoor)، يسمح للمهاجم بالدخول إلى النظام وقتما يشاء، وتنفيذ أوامر إضافية، وتصعيد الهجوم.
الذكاء في التخفي: تكشف تقارير F5 أن هذه الويب شيل يمكن أن تعمل في الذاكرة فقط (In-Memory)، مما يعني أن المهاجمين قد لا يتركون أي ملفات على القرص الصلب، مما يجعل اكتشافها باستخدام برامج مكافحة الفيروسات التقليدية صعباً للغاية.
2. تعطيل SELinux (نظام الأمان)
أحد الإجراءات الأولى التي يتخذها المهاجمون بعد الاختراق هو تعطيل نظام أمان أساسي في لينكس يُدعى SELinux (Security-Enhanced Linux). هذا النظام يضع قيوداً على الصلاحيات والعمليات التي يمكن أن يقوم بها أي برنامج.
بعد تعطيل SELinux، يصبح النظام “أعزل” تماماً، ويمكن للمهاجم تنفيذ أي أمر دون أي عوائق.
3. الحركة الجانبية (Lateral Movement)
الهدف النهائي للمهاجمين ليس الجهاز نفسه، بل الشبكة بأكملها. باستخدام جهاز BIG-IP المخترق كنقطة انطلاق، يمكنهم التحرك جانبياً لاستهداف خوادم أخرى، قواعد البيانات، وحتى أنظمة المحاكاة الافتراضية (vCenter و ESXi).
من هم المتأثرون؟ ومتى حدث الاختراق؟
الإصدارات المتأثرة والإصدارات الآمنة
تؤثر الثغرة على إصدارات BIG-IP APM التالية:
| الإصدارات المتأثرة | الإصدارات الآمنة (المصححة) |
|---|---|
| 17.5.0 – 17.5.1 | 17.5.1.3 |
| 17.1.0 – 17.1.2 | 17.1.3 |
| 16.1.0 – 16.1.6 | 16.1.6.1 |
| 15.1.0 – 15.1.10 | 15.1.10.8 |
من هم العملاء المتأثرون؟
BIG-IP APM هو منتج مؤسسي بحت، تستخدمه الشركات الكبرى والمؤسسات المالية والجهات الحكومية لإدارة الوصول الآمن إلى تطبيقاتها وبياناتها. خدمة F5 Networks تقدم خدماتها لأكثر من 23,000 عميل حول العالم، بما في ذلك 48 من أصل 50 شركة ضمن قائمة Fortune 50. أي أن هذا الهجوم يستهدف البنية التحتية الحيوية للشركات والحكومات.
متى بدأ الاستغلال؟
حتى الآن، لم تعلن F5 عن تاريخ بدء استغلال هذه الثغرة تحديداً، فقط أنه تم اكتشافه في مارس 2026. هذا يعني أن بعض الأنظمة قد تكون مخترقة منذ أسابيع أو حتى شهور دون علم مسؤوليها.
دليل الاختراق (IOCs) – كيف تكتشف إذا كنت مخترقاً؟
وفرت F5 قائمة من المؤشرات (Indicators of Compromise) لمساعدة فرق الأمن على اكتشاف الاختراق. هذه المؤشرات تقسم إلى ثلاث فئات رئيسية:
1. مؤشرات على مستوى الملفات (File Indicators)
- وجود ملفات غير طبيعية: وجود ملفات
/run/bigtlog.pipeو/أو/run/bigstart.ltm. - تطابق غير طبيعي: اختلاف في حجم أو توقيت أو بصمة (Hash) الملفات
/usr/bin/umountو/أو/usr/sbin/httpdمقارنة بالنسخ الأصلية السليمة.
2. مؤشرات على مستوى السجلات (Log Indicators)
- دخول من Localhost: وجود سجلات في
/var/log/restjavad-audit.<NUMBER>.logأو/var/log/auditd/audit.log.<NUMBER>تظهر وصول مستخدم محلي (local user) من localhost إلى واجهة برمجة التطبيقات iControl REST API لتعطيل SELinux.
3. مؤشرات على مستوى الشبكة (Network Indicators)
- حركة مرور مشبوهة: وجود حركة HTTP/S صادرة من جهاز BIG-IP تحتوي على رموز استجابة HTTP 201 ونوع محتوى CSS (Content-Type: CSS). هذا الأسلوب يستخدم لإخفاء نشاط المهاجم ضمن حركة مرور عادية.
ما العمل الآن؟ إجراءات عاجلة لحماية أنظمتك
1. التحديث الفوري (Patch Now!)
هذا هو الإجراء الأهم والأكثر إلحاحاً. يجب تحديث جميع أجهزة BIG-IP APM المتأثرة إلى الإصدارات الآمنة المذكورة أعلاه فوراً. أعطت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) المؤسسات الفيدرالية مهلة حتى 30 مارس (اليوم) لتطبيق التصحيحات.
2. افتراض الاختراق والتدقيق الفوري
نظراً لأن الثغرة استُغلت بالفعل في الهجمات، يجب على المؤسسات أن تفترض أن أجهزتها قد تكون مخترقة، خاصة إذا لم يتم تحديثها في أكتوبر 2025. يجب:
- مراجعة سجلات الوصول: البحث عن المؤشرات المذكورة أعلاه (IOCs).
- إعادة البناء من الصفر (Rebuild from Scratch) : إذا تم اكتشاف أي دليل على الاختراق، فإن إعادة بناء الجهاز من الصفر (وليس من نسخة احتياطية) هو الإجراء الوحيد الآمن، لأن النسخ الاحتياطية قد تحتوي على باب خلفي خبيث.
3. عزل الأجهزة غير المحدثة
إذا كان من المستحيل تحديث جهاز معين فوراً، فيجب عزله عن الشبكة العامة وتقييد الوصول إليه فقط من الشبكات الداخلية الموثوقة حتى اكتمال التحديث.
خلاصة: درس قاس في إدارة الثغرات
قصة ثغرة CVE-2025-53521 تحمل درساً قاسياً لمسؤولي تقنية المعلومات حول العالم: ما كان بالأمس مشكلة “بسيطة” يمكن أن يتحول اليوم إلى كارثة أمنية شاملة.
تصنيف ثغرة تعطيل الخدمة على أنها “غير عاجلة” هو قرار معقول في ظل أولويات العمل اليومية. لكن هذا القرار كاد أن يكون كارثياً عندما تبين أن نفس الثغرة تمنح المهاجمين القدرة على تنفيذ أوامر وتثبيت برمجيات خبيثة.
كما علق بنجامين هاريس (Benjamin Harris)، الرئيس التنفيذي لشركة watchTowr: “عندما ظهرت ثغرة CVE-2025-53521 لأول مرة العام الماضي كمشكلة تعطيل خدمة، لم تكن تشير إلى حالة طوارئ، ومن المحتمل أن العديد من مسؤولي الأنظمة تعاملوا معها وفقاً لذلك. ولكن مع ما نراه اليوم من تنفيذ أوامر عن بُعد وأدلة على استغلالها في الهجمات الحقيقية، فإن ملف المخاطر اختلف تماماً عما كان معروفاً في البداية”.
