ثغرة حرجة في Splunk Enterprise: CISA تأمر بالتحديث خلال أيام وسط هجمات نشطة
أبرز النقاط
- ثغرة CVE-2026-20253 تسمح بتنفيذ أكواد خبيثة عن بُعد دون الحاجة لصلاحيات
- أكثر من 1,400 خادم Splunk مكشوف على الإنترنت معظمها في أمريكا الشمالية
- CISA تمنح الوكالات الفيدرالية مهلة حتى الأحد فقط للتحديث
أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) أمراً عاجلاً للوكالات الفيدرالية بتحديث أنظمة Splunk Enterprise قبل يوم الأحد المقبل، وذلك بعد رصد استغلال نشط لثغرة حرجة تتيح للمهاجمين تنفيذ أكواد خبيثة عن بُعد دون الحاجة لأي صلاحيات مسبقة.
الثغرة المُرقّمة CVE-2026-20253 تصيب الإصدارات من 10.2.0 حتى 10.2.3 ومن 10.0.0 حتى 10.0.6 من Splunk Enterprise، وتكمن خطورتها في غياب ضوابط المصادقة على واجهة خدمة PostgreSQL الجانبية، مما يتيح لأي مستخدم يصل للشبكة إنشاء ملفات أو حذفها على الأجهزة المصابة.
ما الذي يجعل هذه الثغرة خطيرة إلى هذا الحد؟
أوضح فريق أمن Splunk في نشرته الأمنية أن الثغرة تنبع من عدم وجود أي آلية للتحقق من هوية المستخدم عند الوصول لواجهة PostgreSQL، وهو ما يعني أن أي جهة على الشبكة تستطيع تنفيذ عمليات على الملفات دون تقديم بيانات اعتماد. والأسوأ أن شركة WatchTowr نشرت في 12 يونيو تحليلاً تقنياً مفصلاً مع كود استغلال تجريبي يثبت إمكانية تحويل هذه الثغرة إلى هجمات تنفيذ أكواد عن بُعد (RCE).
لا تتوفر بيانات دقيقة حول عدد الخوادم المكشوفة التي لا تزال تعمل بإصدارات مصابة، لكن الرقم الإجمالي يعكس سطح هجوم واسعاً يستدعي تحركاً سريعاً من فرق الأمن.
لماذا منحت CISA مهلة قصيرة للغاية؟
جاء أمر CISA ضمن التوجيه التشغيلي الملزم BOD 26-04 الصادر الأسبوع الماضي، والذي يُلزم الوكالات الفيدرالية بترتيب أولويات التحديث بناءً على مستوى خطورة الاستغلال الفعلي. وأشارت الوكالة إلى أن هذا النوع من الثغرات يُعدّ ناقل هجوم متكرراً للجهات الخبيثة ويشكل خطراً جسيماً على المؤسسات الحكومية.
المفارقة اللافتة أن Splunk Enterprise هو نظام SIEM يُستخدم أساساً لرصد التهديدات وتحليل السجلات الأمنية، فإذا أصبح هو نفسه نقطة اختراق، تتحول أداة الحماية إلى ثغرة في الدرع.
ما خيارات التخفيف لمن لا يستطيع التحديث فوراً؟
قدّم فريق Splunk حلاً مؤقتاً يتمثل في تعطيل خدمة PostgreSQL الجانبية لإزالة سطح الهجوم بالكامل. لكن الشركة حذّرت بوضوح من أن هذا الإجراء سيُعطّل خطوط بيانات Edge Processor وOpAmp وSPL2 على الأنظمة المتأثرة، مما يعني تضحية بوظائف حيوية مقابل الأمان المؤقت.
- التحديث الفوري إلى الإصدارات المُرقّعة هو الحل الأمثل والموصى به
- تعطيل خدمة PostgreSQL كحل مؤقت مع الانتباه لتأثيره على خطوط البيانات
- مراجعة تعرض خوادم Splunk للإنترنت والحد من الوصول الخارجي غير الضروري
- تفعيل مراقبة مكثفة لأي نشاط مشبوه على الأنظمة قبل التحديث
ما الدلالات للمنطقة العربية ومؤسسات الخليج؟
تنتشر منصة Splunk في مراكز البيانات الحكومية والمصرفية والنفطية عبر دول الخليج، حيث تُستخدم كعمود فقري لعمليات مراكز العمليات الأمنية (SOC). وبينما لا تُلزم توجيهات CISA المؤسسات خارج الولايات المتحدة، فإن الاستغلال النشط يعني أن أي خادم Splunk مكشوف — بصرف النظر عن موقعه الجغرافي — هدف محتمل. فرق الأمن في المنطقة مطالبة بالتعامل مع هذا التحذير بالجدية ذاتها.
رأي Logicity
تكشف هذه الحادثة عن معضلة متكررة: أدوات الأمن نفسها تصبح أهدافاً عالية القيمة. اختراق نظام SIEM لا يمنح المهاجم موطئ قدم فحسب، بل يمكّنه من التلاعب بالسجلات وإخفاء آثاره. على المؤسسات الخليجية أن تُعيد تقييم فرضية الثقة المطلقة في منصات الرصد، وأن تُدمج هذه المنصات ضمن دورة تحديثات صارمة لا تقل عن تلك المطبقة على الأصول الأخرى.
الأسئلة الشائعة
ما هي ثغرة CVE-2026-20253 في Splunk Enterprise؟
ثغرة أمنية حرجة في واجهة خدمة PostgreSQL الجانبية تتيح لمهاجم غير مصادق إنشاء ملفات أو حذفها على الخادم، ويمكن استغلالها لتنفيذ أكواد خبيثة عن بُعد.
ما الإصدارات المتأثرة من Splunk Enterprise؟
الإصدارات من 10.2.0 إلى 10.2.3 والإصدارات من 10.0.0 إلى 10.0.6.
هل يؤثر تعطيل PostgreSQL على عمل Splunk؟
نعم، تعطيل الخدمة سيُوقف خطوط بيانات Edge Processor وOpAmp وSPL2، لذا يُنصح بالتحديث بدلاً من التعطيل متى أمكن.
هل المؤسسات خارج أمريكا معرّضة لهذه الثغرة؟
نعم، الاستغلال النشط يستهدف أي خادم Splunk مكشوف على الإنترنت بصرف النظر عن موقعه الجغرافي.
هل تحتاج مساعدة في التطبيق؟
إذا كنت تدير بنية Splunk Enterprise في مؤسستك وتحتاج دعماً في تقييم التأثير أو تنفيذ التحديثات، تواصل مع فريق Logicity للحصول على استشارة متخصصة.
فاطمة الزهراء
كاتبة تقنية متخصصة في الذكاء الاصطناعي
مقالات ذات صلة
تصفح الكل
OpenAI تختبر اشتراك ChatGPT للعلوم: هل يُغيّر قواعد البحث الأكاديمي؟
رصد مطوّرون سلاسل برمجية داخلية على واجهة الويب الخاصة بـ ChatGPT تُشير إلى فئة اشتراك جديدة تحمل اسم ChatGPT for Science، ما يؤكد أن OpenAI تتجه نحو تقسيم قاعدة مستخدميها إلى شرائح عمودية متخصصة بدلا
تسريب FortiBleed يكشف بيانات اعتماد 73 ألف جهاز Fortinet VPN حول العالم
كشف باحثون في الأمن السيبراني عن تسريب ضخم يحمل اسم FortiBleed، يتضمن بيانات اعتماد صالحة لأكثر من 73 ألف جهاز Fortinet VPN وجدران حماية FortiGate منتشرة في مؤسسات حول العالم. التسريب يُعدّ من أكبر عم
إضافات خبيثة على سوق JetBrains تسرق مفاتيح API الخاصة بالذكاء الاصطناعي من 70 ألف مطوّر
كشف باحثون أمنيون في شركة Aikido Security عن حملة منسّقة استهدفت مطوّري البرمجيات عبر 15 إضافة خبيثة على سوق JetBrains Marketplace، صُمِّمت خصيصاً لسرقة مفاتيح API الخاصة بخدمات الذكاء الاصطناعي مثل O
برمجية Rokarolla الخبيثة تستهدف 217 تطبيقاً مصرفياً ومحفظة عملات رقمية على أندرويد
كشف باحثون في شركة Zimperium للأمن السيبراني عن برمجية خبيثة جديدة تُدعى Rokarolla تستهدف مستخدمي أندرويد عبر 217 تطبيقاً مصرفياً ومحفظة عملات رقمية، مستخدمةً ترسانة ضخمة من 137 أمراً للتحكم الكامل با
اقرأ أيضاً
3 تطبيقات خفية من Google على هاتفك Samsung تحتاج تحديثاً يدوياً فورياً
حتى لو أظهر متجر Google Play على هاتفك Samsung Galaxy أن جميع التطبيقات محدَّثة، فثمة ثلاثة مكونات نظام حيوية من Google تعمل بقواعدها الخاصة ولا تُحدَّث تلقائياً. تجاهل تحديث هذه التطبيقات يعني احتمال
OpenAI تستقطب نعوم شازير مخترع المحوِّلات قبيل طرحها العام
في خطوة تعكس احتدام المنافسة على الكفاءات النادرة في قطاع الذكاء الاصطناعي، أعلنت OpenAI استقطاب نعوم شازير، أحد العقول المؤسِّسة لبنية المحوِّلات (Transformer) التي تشكّل العمود الفقري لنماذج الذكاء
ثلاثة مستشعرات مخفية في هاتفك يمكنك الاستفادة منها الآن
هل تساءلت يوماً كيف يعرف هاتفك أنك تمشي، أو يدوّر الشاشة تلقائياً عند إمالته، أو يحافظ على ثبات الفيديو أثناء تنقلك؟ الإجابة تكمن في مستشعرات الهاتف المخفية التي تعمل خلف الكواليس دون أن تدرك وجودها.