剣 KENSAI
← Back to archive
🛡️ KENSAI THREAT INTELLIGENCE

أبحاث الأمن اليومية

2026-03-22 · السبت 21 مارس → الأحد 22 مارس · تم التوليد تلقائياً الساعة 04:00 بتوقيت وسط أوروبا

⚡ TL;DR — ما يهم اليوم

  • تطور هجوم سلسلة التوريد على Trivy — دودة "CanisterWorm" ذاتية الانتشار تصيب 47 حزمة npm باستخدام C2 قائم على البلوكتشين
  • تصحيح طوارئ من Oracle — CVE-2026-21992 (CVSS 9.8) يتيح RCE بدون مصادقة في Identity Manager
  • FBI يحذر من تصيد روسي عبر Signal/WhatsApp — آلاف الحسابات تم اختراقها بالفعل
  • DoJ تفكك شبكات DDoS قياسية — أكثر من 3 ملايين جهاز، هجمات بسرعة 31.4 تيرابت/ثانية تم تعطيلها
  • موعد CISA النهائي اليوم — ثغرة Cisco FMC ذات الخطورة القصوى CVE-2026-20131 يجب تصحيحها بحلول 22 مارس
  • استغلال Langflow RCE خلال 20 ساعة — CVE-2026-33017 (CVSS 9.3) يُستهدف بنشاط
  • اختراق Navia يطال 2.7 مليون شخص — سرقة بيانات شخصية وبيانات خطط صحية
🔗 هجمات سلسلة التوريد

اختراق ماسح Trivy — CanisterWorm ينتشر إلى 47 حزمة npm

سلسلة التوريد حرج

تم اختراق ماسح الثغرات Trivy من Aqua Security للمرة الثانية خلال شهر. قامت مجموعة التهديد TeamPCP باختطاف 75 وسم GitHub Action عبر aquasecurity/trivy-action وaquasecurity/setup-trivy، وحقن برمجيات خبيثة لسرقة بيانات الاعتماد في خطوط CI/CD. نشر هجوم لاحق CanisterWorm، وهي دودة ذاتية الانتشار أصابت 47 حزمة npm عبر @EmilGroup و@opengov ونطاقات أخرى. تستخدم الدودة حاويات بروتوكول Internet Computer (ICP) على البلوكتشين كمحللات C2 للتسليم السري — وهي أول حالة موثقة لهذه التقنية — مما يجعل الإزالة صعبة للغاية. الثبات عبر خدمات systemd متنكرة كأدوات PostgreSQL.

المصادر: The Hacker News · BleepingComputer

Magento PolyShell — رفع ملفات بدون مصادقة وRCE عبر REST API

حرج

اكتشفت Sansec ثغرة حرجة في REST API الخاص بـ Magento تسمح للمهاجمين غير المصادق عليهم برفع ملفات تنفيذية متنكرة كصور، مما يحقق تنفيذ أوامر عن بُعد والاستيلاء على الحسابات. يُطلق على الهجوم اسم PolyShell، ويستغل معالجة ملفات الصور. لم يُلاحظ أي استغلال علني حتى الآن، لكن آلاف مواقع Magento تتعرض بالفعل لحملة تشويه مستمرة بدأت في 27 فبراير.

المصادر: The Hacker News · SecurityWeek

🚨 ثغرات CVE حرجة وتصحيحات

CVE-2026-21992 — Oracle Identity Manager تنفيذ أوامر عن بُعد بدون مصادقة

حرج CVSS 9.8

أصدرت Oracle تصحيحاً طارئاً خارج الجدول لثغرة حرجة في تنفيذ الأوامر عن بُعد بدون مصادقة في Identity Manager وWeb Services Manager. لا حاجة للمصادقة للاستغلال. حثت Oracle على التصحيح الفوري.

المصدر: The Hacker News

CVE-2026-20131 — Cisco Secure Firewall Management Center (خطورة قصوى)

حرج CVSS 10.0

أمرت CISA جميع الوكالات الفيدرالية بتصحيح ثغرة Cisco FMC ذات الخطورة القصوى بحلول اليوم، 22 مارس. تشير التفاصيل إلى إمكانية اختراق النظام بالكامل. تمت إضافتها إلى كتالوج CISA للثغرات المستغلة المعروفة.

المصدر: BleepingComputer

CVE-2026-33017 — Langflow تنفيذ أوامر عن بُعد بدون مصادقة (استُغلت خلال 20 ساعة)

حرج CVSS 9.3

ثغرة حرجة في غياب المصادقة + حقن الأوامر في Langflow (أداة بناء سير عمل AI الشهيرة). قام فاعلو التهديد بتسليح الثغرة خلال 20 ساعة من الكشف العلني عبر نقطة النهاية POST /api/v1. يسلط الضوء على تقلص نافذة نشر التصحيحات.

المصدر: The Hacker News

CISA تضيف Apple وCraft CMS وLaravel Livewire إلى كتالوج KEV

مُستغلة بنشاط

تمت إضافة خمس ثغرات إضافية إلى كتالوج CISA KEV مع موعد نهائي للتصحيح في 3 أبريل 2026. تتضمن CVE-2025-31277 (Apple، CVSS 8.8) بالإضافة إلى ثغرات في Craft CMS وLaravel Livewire. تم تأكيد استغلالها النشط.

المصدر: The Hacker News

CVE-2025-32975 — استغلال Quest KACE في قطاع التعليم

حرج

ثغرة حرجة في جهاز إدارة أنظمة Quest KACE تم استغلالها محتملاً ضد أهداف في قطاع التعليم. يجب على المؤسسات التي تستخدم Quest KACE التصحيح فوراً.

المصدر: SecurityWeek

🎯 هجمات الدول والتجسس

FBI/CISA: المخابرات الروسية تستهدف Signal وWhatsApp على نطاق واسع

دولة تأثير عالٍ

أصدر FBI وCISA تحذيراً مشتركاً بأن أجهزة المخابرات الروسية تشن حملات تصيد واسعة النطاق ضد مستخدمي Signal وWhatsApp. تشمل الأهداف مسؤولين حكوميين أمريكيين حاليين وسابقين، وعسكريين، وشخصيات سياسية، وصحفيين. آلاف الحسابات تم اختراقها بالفعل. بعد الحصول على الوصول، يطلع الفاعلون على الرسائل، ويسرقون جهات الاتصال، وينتحلون شخصية الضحايا، ويسلسلون مزيداً من التصيد من هويات موثوقة. أكد مدير FBI كاش باتيل الحملة على X.

المصادر: The Hacker News · BleepingComputer

الولايات المتحدة تؤكد ارتباط حنظلة بالحكومة الإيرانية

دولة

صادرت الحكومة الأمريكية عدة نطاقات استخدمتها حنظلة، مؤكدةً ارتباطها بالحكومة الإيرانية. نفذت المجموعة عمليات نفسية مدعومة سيبرانياً. تم إغلاق النطاقات في جهد منسق.

المصدر: SecurityWeek

توجيه اتهامات لـ 3 أشخاص بتهريب عتاد AI إلى الصين

ضوابط التصدير

وُجهت اتهامات لثلاثة أشخاص بانتهاك قوانين ضوابط التصدير الأمريكية من خلال التآمر لتحويل كميات كبيرة من خوادم AI عالية الأداء المُجمَّعة في الولايات المتحدة إلى الصين.

المصدر: SecurityWeek

🤖 شبكات البوت وDDoS

DoJ تفكك شبكات بوت IoT بـ 3 ملايين جهاز — رقم قياسي 31.4 تيرابت/ثانية DDoS

حرج

قامت وزارة العدل الأمريكية، بالتعاون مع السلطات الكندية والألمانية، بتعطيل البنية التحتية لـ C2 الخاصة بشبكات بوت AISURU وKimwolf وJackSkid وMossad — التي كانت تتحكم مجتمعة في أكثر من 3 ملايين جهاز IoT مصاب (أجهزة DVR، تلفزيونات ذكية، أجهزة استقبال). شنت هذه الشبكات هجمات DDoS قياسية وصلت إلى 31.4 تيرابت/ثانية. ساعد تحالف ضخم من القطاع الخاص (Akamai، AWS، Cloudflare، Google، Oracle، PayPal والمزيد). يشمل المشتبه بهم شاباً يبلغ 23 عاماً في كندا ومراهقاً يبلغ 15 عاماً في ألمانيا. لم يُعلن عن اعتقالات.

المصدر: The Hacker News

💀 خروقات البيانات

اختراق بيانات Navia — 2.7 مليون متأثر

واسع النطاق

بين أواخر ديسمبر 2025 ومنتصف يناير 2026، سرق قراصنة معلومات شخصية وبيانات خطط صحية من بيئة Navia، مما أثر على 2.7 مليون فرد. تم اختراق بيانات الرعاية الصحية والمزايا.

المصدر: SecurityWeek

آلاف مواقع Magento تحت حملة تشويه مستمرة

هجمات ويب

حملة تشويه واسعة بدأت في 27 فبراير أصابت آلاف مواقع التجارة الإلكترونية القائمة على Magento، مستهدفة علامات تجارية عالمية وحتى خدمات حكومية. مع ثغرة PolyShell الجديدة، يواجه مشغلو Magento مشهد تهديدات خطير.

المصدر: SecurityWeek

🎣 التصيد والهندسة الاجتماعية

إساءة استخدام تنبيهات Microsoft Azure Monitor للتصيد بالاتصال العكسي

تصيد

يسيء المهاجمون استخدام تنبيهات Microsoft Azure Monitor لإرسال رسائل تصيد بالاتصال العكسي تنتحل صفة فريق أمان Microsoft. تحذر الرسائل من رسوم غير مصرح بها، لجذب الضحايا للاتصال بأرقام هاتف يتحكم بها المهاجمون.

المصدر: BleepingComputer

📱 تحديثات المنصات والأدوات

Google Android "Advanced Flow" — فترة انتظار 24 ساعة للتحميل الجانبي

android

أعلنت Google عن آلية تحميل جانبي جديدة لنظام Android: التطبيقات من مطورين غير موثقين تتطلب الآن فترة انتظار إلزامية مدتها 24 ساعة قبل التثبيت. جزء من تفويض التحقق من المطورين لتقليل توزيع البرمجيات الخبيثة وتطبيقات الاحتيال.

المصدر: The Hacker News

عملية أليس — إغلاق 373,000 موقع على الويب المظلم

إنفاذ القانون

أغلقت عملية إنفاذ قانون دولية أكثر من 373,000 موقع على الويب المظلم تقدم حزم مواد غير قانونية مزيفة.

المصدر: BleepingComputer

المملكة المتحدة تشدد متطلبات الإبلاغ عن الحوادث السيبرانية

تنظيم

تعمل المملكة المتحدة على تشديد التزامات الإبلاغ عن الحوادث السيبرانية للمؤسسات، لتنضم إلى اتجاه NIS2 في الاتحاد الأوروبي لمتطلبات إفصاح أكثر صرامة عن الخروقات.

المصدر: SecurityWeek

💰 تمويل صناعة الأمن

Oasis Security — 120 مليون دولار لإدارة الوصول الوكيل

توسع البحث والتطوير لإدارة وصول إطار عمل AI وتوسيع نطاق السوق.

Cape — 100 مليون دولار للأمن الخلوي

MVNO يركز على الخصوصية للمستهلكين والمؤسسات والحكومات.

Eclypsium — 25 مليون دولار لأمن سلسلة توريد الأجهزة

توسيع قدرات منصة أمن البرامج الثابتة وسلسلة التوريد.

1stProtect — 20 مليون دولار (خروج سري) لأمن نقاط النهاية

مراقبة السلوك والتحقق من نية المستخدم لإيقاف الهجمات في الوقت الفعلي.

Allure Security — 17 مليون دولار لحماية العلامة التجارية عبر الإنترنت

توسيع منصة حماية العلامة التجارية الرقمية.

📊 أنماط التهديدات الناشئة

الاتجاهات الرئيسية هذا الأسبوع

1. تسارع هجمات سلسلة التوريد: يُظهر Trivy/CanisterWorm أن المهاجمين يسلسلون اختراقات سلسلة التوريد — اختراق واحد يؤدي إلى ديدان ذاتية الانتشار عبر أنظمة بيئية كاملة. C2 القائم على البلوكتشين (ICP canisters) يجعل الإزالة شبه مستحيلة.

2. انهيار وقت الاستغلال: تم استغلال Langflow CVE-2026-33017 خلال 20 ساعة من الكشف. نافذة التصحيح صفر فعلياً للخدمات المواجهة للإنترنت.

3. ارتفاع تطور التصيد المدعوم بالذكاء الاصطناعي: أصبح التحليل السلوكي ضرورياً حيث يولد AI تصيداً مخصصاً يتجاوز الكشف التقليدي. هجمات AITM المعتمدة على المتصفح وتقنيات ClickFix تقود خروقات كبرى.

4. استهداف الدول لتطبيقات المراسلة: أجهزة المخابرات الروسية تشن حملات بمستوى صناعي ضد المراسلة المشفرة (Signal، WhatsApp). سلاسل الثقة تُستغل — حسابات مخترقة تُستخدم لتصيد جهات الاتصال.

5. حجم شبكات بوت IoT يصل لمستويات البنية التحتية: قدرة DDoS بسرعة 31.4 تيرابت/ثانية من أجهزة مستهلكين مخترقة. حتى بعد التفكيك، تظل مجموعة الأجهزة المصابة قائمة.

6. استمرار التشديد التنظيمي: المملكة المتحدة تنضم لالتزامات الإبلاغ على نمط NIS2. عبء الامتثال يزداد لمؤسسات الاتحاد الأوروبي/المملكة المتحدة.

🇪🇺 NIS2 وأهمية KENSAI

ماذا يعني هذا لعملاء KENSAI

مراقبة سلسلة التوريد: يعزز اختراق Trivy/npm أهمية الفحص المستمر للتبعيات. تحليل SBOM وفحوصات التبعيات من KENSAI تكتشف هذه الأنماط بالضبط.

إلحاح إدارة التصحيحات: مع تقلص نوافذ استغلال CVE إلى ساعات (Langflow) ومطالبة CISA بتصحيحات في نفس اليوم (Cisco)، لم يعد فحص الثغرات الآلي اختيارياً — إنه مسألة بقاء.

إبلاغ NIS2: قواعد الإبلاغ المشددة في المملكة المتحدة تعكس المادة 23 من NIS2. تواجه مؤسسات منطقة DACH نفس الالتزامات. قدرات إبلاغ الامتثال من KENSAI تلبي هذه الحاجة مباشرة.

أمن المراسلة: حملة Signal/WhatsApp الروسية هي جرس إنذار لأي مؤسسة تعتمد على تطبيقات المراسلة الاستهلاكية للاتصالات الحساسة.