العودة إلى المدونة ←
Security Briefing4 دقائق قراءة2026-04-25

إحاطة أمنية، 25 أبريل 2026: ثبات Firestarter، تعرّض Zimbra، وابتزاز BlackFile عبر التصيد الصوتي

النمط اليوم قاسٍ لكنه واضح: أجهزة الحافة، وصناديق البريد، ومسارات الثقة في مكتب المساعدة كلها تُستغل بطرق لا توقفها معالجة سطحية.


الخلاصة: هناك ثلاث قصص تستحق اهتماماً فورياً هذا الصباح: برمجية خبيثة على الجدار الناري يمكنها البقاء بعد دورة التصحيحات، ومنصة بريد تحتوي على آلاف الخوادم المكشوفة الضعيفة، ومجموعة ابتزاز تعتمد على التصيد الصوتي وتحول إجراءات الدعم العادية إلى مسارات اختراق.


1. Firestarter يجعل تصحيح جدران Cisco النارية خط نهاية زائفاً

تحذر CISA وNCSC البريطانية من أن الباب الخلفي Firestarter يمكن أن يستمر على أجهزة Cisco Firepower وSecure Firewall حتى بعد إعادة التشغيل وتحديثات البرامج الثابتة والتصحيحات الأمنية. هذه البرمجية، المرتبطة بجهة تجسس تتبعها Cisco، ترتبط بعملية LINA، وتعيد تثبيت نفسها عند إيقافها، ويمكن تشغيلها عبر حركة WebVPN مُعدة خصيصاً. رسالة Cisco واضحة: الإصدارات المصححة مهمة، لكن مسار التنظيف الموصى به هو إعادة تصوير الجهاز بالكامل.


2. أكثر من 10 آلاف خادم Zimbra مكشوف ما زال داخل دائرة الخطر

تقول Shadowserver إن أكثر من 10,500 خادم Zimbra Collaboration Suite مكشوف على الإنترنت ما زال عرضة لـ CVE-2025-48700، وهي ثغرة XSS أدرجتها CISA بالفعل ضمن الثغرات المستغلة فعلياً. تؤثر المشكلة في عدة فروع من ZCS، وقد تسمح لمهاجم غير موثّق بتنفيذ JavaScript داخل جلسة webmail الخاصة بالضحية عند فتح رسالة خبيثة في الواجهة الكلاسيكية. وهذا مهم لأن Zimbra يملك تاريخاً طويلاً كمنصة انطلاق لسرقة البريد وحملات مدعومة من دول.


3. BlackFile يثبت أن مكالمات مكتب المساعدة المزيفة ما زالت تكسر الشركات الحديثة

يتم ربط BlackFile بموجة من هجمات الابتزاز المعتمدة على التصيد الصوتي ضد قطاعات التجزئة والضيافة. ينتحل المهاجمون صفة دعم تقنية المعلومات، ويسرقون بيانات الدخول والرموز أحادية الاستخدام عبر صفحات تسجيل دخول مزيفة، ثم يسجلون أجهزتهم الخاصة لتجاوز MFA. بعد ذلك ينهبون أنظمة مثل Salesforce وSharePoint عبر واجهات API القياسية، ويسرقون الملفات الحساسة، ويزيدون الضغط عبر طلبات الفدية وحتى swatting.


ما الذي يجب على فرق الأمن فعله اليوم

  1. تشغيل فحوصات الاختراق على جدران Cisco النارية والتخطيط لإعادة التصوير عند ظهور مؤشرات.
  2. إكمال تصحيحات Zimbra والبحث عن إساءة استخدام الجلسات الناتجة عن رسائل خبيثة.
  3. تشديد فحوصات هوية مكتب المساعدة، خاصة في الدعم عن بُعد وعمليات إعادة تعيين MFA.
  4. مراجعة نشاط تصدير SaaS وأحداث تسجيل الأجهزة بحثاً عن مؤشرات اختراق بأسلوب BlackFile.

المصادر


النتيجة: النمط اليوم قاسٍ لكنه واضح: أجهزة الحافة، وصناديق البريد، ومسارات الثقة في مكتب المساعدة كلها تُستغل بطرق لا توقفها معالجة سطحية.

اعثر على كسور الثقة قبل أن تتحول إلى حوادث

تساعد KENSAI الفرق على كشف مسارات الهجوم المكشوفة عبر أجهزة الحافة وأنظمة البريد وتدفقات الهوية وأدوات السحابة قبل أن يحول المهاجمون سير العمل الطبيعي إلى بنية اختراق.

فحص مجاني →

ابقَ يقظاً.

🗡️ فريق KENSAI الأمني