أبحاث الأمن اليومية
2026-03-22 · السبت 21 مارس → الأحد 22 مارس · تم التوليد تلقائياً الساعة 04:00 بتوقيت وسط أوروبا
⚡ TL;DR — ما يهم اليوم
- تطور هجوم سلسلة التوريد على Trivy — دودة "CanisterWorm" ذاتية الانتشار تصيب 47 حزمة npm باستخدام C2 قائم على البلوكتشين
- تصحيح طوارئ من Oracle — CVE-2026-21992 (CVSS 9.8) يتيح RCE بدون مصادقة في Identity Manager
- FBI يحذر من تصيد روسي عبر Signal/WhatsApp — آلاف الحسابات تم اختراقها بالفعل
- DoJ تفكك شبكات DDoS قياسية — أكثر من 3 ملايين جهاز، هجمات بسرعة 31.4 تيرابت/ثانية تم تعطيلها
- موعد CISA النهائي اليوم — ثغرة Cisco FMC ذات الخطورة القصوى CVE-2026-20131 يجب تصحيحها بحلول 22 مارس
- استغلال Langflow RCE خلال 20 ساعة — CVE-2026-33017 (CVSS 9.3) يُستهدف بنشاط
- اختراق Navia يطال 2.7 مليون شخص — سرقة بيانات شخصية وبيانات خطط صحية
اختراق ماسح Trivy — CanisterWorm ينتشر إلى 47 حزمة npm
سلسلة التوريد حرجتم اختراق ماسح الثغرات Trivy من Aqua Security للمرة الثانية خلال شهر. قامت مجموعة التهديد TeamPCP باختطاف 75 وسم GitHub Action عبر aquasecurity/trivy-action وaquasecurity/setup-trivy، وحقن برمجيات خبيثة لسرقة بيانات الاعتماد في خطوط CI/CD. نشر هجوم لاحق CanisterWorm، وهي دودة ذاتية الانتشار أصابت 47 حزمة npm عبر @EmilGroup و@opengov ونطاقات أخرى. تستخدم الدودة حاويات بروتوكول Internet Computer (ICP) على البلوكتشين كمحللات C2 للتسليم السري — وهي أول حالة موثقة لهذه التقنية — مما يجعل الإزالة صعبة للغاية. الثبات عبر خدمات systemd متنكرة كأدوات PostgreSQL.
المصادر: The Hacker News · BleepingComputer
Magento PolyShell — رفع ملفات بدون مصادقة وRCE عبر REST API
حرجاكتشفت Sansec ثغرة حرجة في REST API الخاص بـ Magento تسمح للمهاجمين غير المصادق عليهم برفع ملفات تنفيذية متنكرة كصور، مما يحقق تنفيذ أوامر عن بُعد والاستيلاء على الحسابات. يُطلق على الهجوم اسم PolyShell، ويستغل معالجة ملفات الصور. لم يُلاحظ أي استغلال علني حتى الآن، لكن آلاف مواقع Magento تتعرض بالفعل لحملة تشويه مستمرة بدأت في 27 فبراير.
المصادر: The Hacker News · SecurityWeek
CVE-2026-21992 — Oracle Identity Manager تنفيذ أوامر عن بُعد بدون مصادقة
حرج CVSS 9.8أصدرت Oracle تصحيحاً طارئاً خارج الجدول لثغرة حرجة في تنفيذ الأوامر عن بُعد بدون مصادقة في Identity Manager وWeb Services Manager. لا حاجة للمصادقة للاستغلال. حثت Oracle على التصحيح الفوري.
المصدر: The Hacker News
CVE-2026-20131 — Cisco Secure Firewall Management Center (خطورة قصوى)
حرج CVSS 10.0أمرت CISA جميع الوكالات الفيدرالية بتصحيح ثغرة Cisco FMC ذات الخطورة القصوى بحلول اليوم، 22 مارس. تشير التفاصيل إلى إمكانية اختراق النظام بالكامل. تمت إضافتها إلى كتالوج CISA للثغرات المستغلة المعروفة.
المصدر: BleepingComputer
CVE-2026-33017 — Langflow تنفيذ أوامر عن بُعد بدون مصادقة (استُغلت خلال 20 ساعة)
حرج CVSS 9.3ثغرة حرجة في غياب المصادقة + حقن الأوامر في Langflow (أداة بناء سير عمل AI الشهيرة). قام فاعلو التهديد بتسليح الثغرة خلال 20 ساعة من الكشف العلني عبر نقطة النهاية POST /api/v1. يسلط الضوء على تقلص نافذة نشر التصحيحات.
المصدر: The Hacker News
CISA تضيف Apple وCraft CMS وLaravel Livewire إلى كتالوج KEV
مُستغلة بنشاطتمت إضافة خمس ثغرات إضافية إلى كتالوج CISA KEV مع موعد نهائي للتصحيح في 3 أبريل 2026. تتضمن CVE-2025-31277 (Apple، CVSS 8.8) بالإضافة إلى ثغرات في Craft CMS وLaravel Livewire. تم تأكيد استغلالها النشط.
المصدر: The Hacker News
CVE-2025-32975 — استغلال Quest KACE في قطاع التعليم
حرجثغرة حرجة في جهاز إدارة أنظمة Quest KACE تم استغلالها محتملاً ضد أهداف في قطاع التعليم. يجب على المؤسسات التي تستخدم Quest KACE التصحيح فوراً.
المصدر: SecurityWeek
FBI/CISA: المخابرات الروسية تستهدف Signal وWhatsApp على نطاق واسع
دولة تأثير عالٍأصدر FBI وCISA تحذيراً مشتركاً بأن أجهزة المخابرات الروسية تشن حملات تصيد واسعة النطاق ضد مستخدمي Signal وWhatsApp. تشمل الأهداف مسؤولين حكوميين أمريكيين حاليين وسابقين، وعسكريين، وشخصيات سياسية، وصحفيين. آلاف الحسابات تم اختراقها بالفعل. بعد الحصول على الوصول، يطلع الفاعلون على الرسائل، ويسرقون جهات الاتصال، وينتحلون شخصية الضحايا، ويسلسلون مزيداً من التصيد من هويات موثوقة. أكد مدير FBI كاش باتيل الحملة على X.
المصادر: The Hacker News · BleepingComputer
الولايات المتحدة تؤكد ارتباط حنظلة بالحكومة الإيرانية
دولةصادرت الحكومة الأمريكية عدة نطاقات استخدمتها حنظلة، مؤكدةً ارتباطها بالحكومة الإيرانية. نفذت المجموعة عمليات نفسية مدعومة سيبرانياً. تم إغلاق النطاقات في جهد منسق.
المصدر: SecurityWeek
توجيه اتهامات لـ 3 أشخاص بتهريب عتاد AI إلى الصين
ضوابط التصديروُجهت اتهامات لثلاثة أشخاص بانتهاك قوانين ضوابط التصدير الأمريكية من خلال التآمر لتحويل كميات كبيرة من خوادم AI عالية الأداء المُجمَّعة في الولايات المتحدة إلى الصين.
المصدر: SecurityWeek
DoJ تفكك شبكات بوت IoT بـ 3 ملايين جهاز — رقم قياسي 31.4 تيرابت/ثانية DDoS
حرجقامت وزارة العدل الأمريكية، بالتعاون مع السلطات الكندية والألمانية، بتعطيل البنية التحتية لـ C2 الخاصة بشبكات بوت AISURU وKimwolf وJackSkid وMossad — التي كانت تتحكم مجتمعة في أكثر من 3 ملايين جهاز IoT مصاب (أجهزة DVR، تلفزيونات ذكية، أجهزة استقبال). شنت هذه الشبكات هجمات DDoS قياسية وصلت إلى 31.4 تيرابت/ثانية. ساعد تحالف ضخم من القطاع الخاص (Akamai، AWS، Cloudflare، Google، Oracle، PayPal والمزيد). يشمل المشتبه بهم شاباً يبلغ 23 عاماً في كندا ومراهقاً يبلغ 15 عاماً في ألمانيا. لم يُعلن عن اعتقالات.
المصدر: The Hacker News
اختراق بيانات Navia — 2.7 مليون متأثر
واسع النطاقبين أواخر ديسمبر 2025 ومنتصف يناير 2026، سرق قراصنة معلومات شخصية وبيانات خطط صحية من بيئة Navia، مما أثر على 2.7 مليون فرد. تم اختراق بيانات الرعاية الصحية والمزايا.
المصدر: SecurityWeek
آلاف مواقع Magento تحت حملة تشويه مستمرة
هجمات ويبحملة تشويه واسعة بدأت في 27 فبراير أصابت آلاف مواقع التجارة الإلكترونية القائمة على Magento، مستهدفة علامات تجارية عالمية وحتى خدمات حكومية. مع ثغرة PolyShell الجديدة، يواجه مشغلو Magento مشهد تهديدات خطير.
المصدر: SecurityWeek
إساءة استخدام تنبيهات Microsoft Azure Monitor للتصيد بالاتصال العكسي
تصيديسيء المهاجمون استخدام تنبيهات Microsoft Azure Monitor لإرسال رسائل تصيد بالاتصال العكسي تنتحل صفة فريق أمان Microsoft. تحذر الرسائل من رسوم غير مصرح بها، لجذب الضحايا للاتصال بأرقام هاتف يتحكم بها المهاجمون.
المصدر: BleepingComputer
Google Android "Advanced Flow" — فترة انتظار 24 ساعة للتحميل الجانبي
androidأعلنت Google عن آلية تحميل جانبي جديدة لنظام Android: التطبيقات من مطورين غير موثقين تتطلب الآن فترة انتظار إلزامية مدتها 24 ساعة قبل التثبيت. جزء من تفويض التحقق من المطورين لتقليل توزيع البرمجيات الخبيثة وتطبيقات الاحتيال.
المصدر: The Hacker News
عملية أليس — إغلاق 373,000 موقع على الويب المظلم
إنفاذ القانونأغلقت عملية إنفاذ قانون دولية أكثر من 373,000 موقع على الويب المظلم تقدم حزم مواد غير قانونية مزيفة.
المصدر: BleepingComputer
المملكة المتحدة تشدد متطلبات الإبلاغ عن الحوادث السيبرانية
تنظيمتعمل المملكة المتحدة على تشديد التزامات الإبلاغ عن الحوادث السيبرانية للمؤسسات، لتنضم إلى اتجاه NIS2 في الاتحاد الأوروبي لمتطلبات إفصاح أكثر صرامة عن الخروقات.
المصدر: SecurityWeek
Oasis Security — 120 مليون دولار لإدارة الوصول الوكيل
توسع البحث والتطوير لإدارة وصول إطار عمل AI وتوسيع نطاق السوق.
Cape — 100 مليون دولار للأمن الخلوي
MVNO يركز على الخصوصية للمستهلكين والمؤسسات والحكومات.
Eclypsium — 25 مليون دولار لأمن سلسلة توريد الأجهزة
توسيع قدرات منصة أمن البرامج الثابتة وسلسلة التوريد.
1stProtect — 20 مليون دولار (خروج سري) لأمن نقاط النهاية
مراقبة السلوك والتحقق من نية المستخدم لإيقاف الهجمات في الوقت الفعلي.
Allure Security — 17 مليون دولار لحماية العلامة التجارية عبر الإنترنت
توسيع منصة حماية العلامة التجارية الرقمية.
الاتجاهات الرئيسية هذا الأسبوع
1. تسارع هجمات سلسلة التوريد: يُظهر Trivy/CanisterWorm أن المهاجمين يسلسلون اختراقات سلسلة التوريد — اختراق واحد يؤدي إلى ديدان ذاتية الانتشار عبر أنظمة بيئية كاملة. C2 القائم على البلوكتشين (ICP canisters) يجعل الإزالة شبه مستحيلة.
2. انهيار وقت الاستغلال: تم استغلال Langflow CVE-2026-33017 خلال 20 ساعة من الكشف. نافذة التصحيح صفر فعلياً للخدمات المواجهة للإنترنت.
3. ارتفاع تطور التصيد المدعوم بالذكاء الاصطناعي: أصبح التحليل السلوكي ضرورياً حيث يولد AI تصيداً مخصصاً يتجاوز الكشف التقليدي. هجمات AITM المعتمدة على المتصفح وتقنيات ClickFix تقود خروقات كبرى.
4. استهداف الدول لتطبيقات المراسلة: أجهزة المخابرات الروسية تشن حملات بمستوى صناعي ضد المراسلة المشفرة (Signal، WhatsApp). سلاسل الثقة تُستغل — حسابات مخترقة تُستخدم لتصيد جهات الاتصال.
5. حجم شبكات بوت IoT يصل لمستويات البنية التحتية: قدرة DDoS بسرعة 31.4 تيرابت/ثانية من أجهزة مستهلكين مخترقة. حتى بعد التفكيك، تظل مجموعة الأجهزة المصابة قائمة.
6. استمرار التشديد التنظيمي: المملكة المتحدة تنضم لالتزامات الإبلاغ على نمط NIS2. عبء الامتثال يزداد لمؤسسات الاتحاد الأوروبي/المملكة المتحدة.
ماذا يعني هذا لعملاء KENSAI
مراقبة سلسلة التوريد: يعزز اختراق Trivy/npm أهمية الفحص المستمر للتبعيات. تحليل SBOM وفحوصات التبعيات من KENSAI تكتشف هذه الأنماط بالضبط.
إلحاح إدارة التصحيحات: مع تقلص نوافذ استغلال CVE إلى ساعات (Langflow) ومطالبة CISA بتصحيحات في نفس اليوم (Cisco)، لم يعد فحص الثغرات الآلي اختيارياً — إنه مسألة بقاء.
إبلاغ NIS2: قواعد الإبلاغ المشددة في المملكة المتحدة تعكس المادة 23 من NIS2. تواجه مؤسسات منطقة DACH نفس الالتزامات. قدرات إبلاغ الامتثال من KENSAI تلبي هذه الحاجة مباشرة.
أمن المراسلة: حملة Signal/WhatsApp الروسية هي جرس إنذار لأي مؤسسة تعتمد على تطبيقات المراسلة الاستهلاكية للاتصالات الحساسة.