Advertising in the Telegram channel «Hidden Lock Team Offical Channel» from 4.20

Channel info
Full statistics

Recent Channel Posts

‼️ كواليس الثغرة الصامتة: CVE-2025-68613

في عالم البرمجيات، أحياناً تكون الأداة التي تمنحك السيطرة الكاملة هي ذاتها نقطة الضعف التي تسلبك إياها. ثغرة Critical RCE المكتشفة مؤخراً في أداة n8n (من الإصدار 0.211.0 وحتى 1.120.4) ليست مجرد خطأ برمجياً عابراً، بل هي "ثغرة تنفيذ أوامر عن بُعد (RCE)" تفتح تساؤلات كثيرة حول أمن الأتمتة. تقرير انهارده، انتظروا ✨

15:29

20.12.2025

🔸 المراقبة الخارجية: تفعيل أنظمة مراقبة خارجية للسجلات (SIEM) لضمان الاحتفاظ بالأدلة الجنائية بعيداً عن متناول أدوات المسح التي يمتلكها المهاجم.

وكده يكون المقال خلص، باللغة العربيه بسيطة ومفهومه، اتمنى يكون التحليل عجبك، ومتنساش تتفاعل وتنشر المقال، وتقدر تشوف المصادر، وشكراً ✨

مصادر الثغرة والتحليل الفني: نصيحة سيسكو الأمنية الرسمية (ID: cisco-sa-sma-attack-N9bf4): https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4 تقرير سيسكو تالوس حول الفاعل التهديدي UAT-9686: https://blog.talosintelligence.com/uat-9686/ دليل الثغرات المستغلة المعروفة (CISA KEV Catalog): https://www.cisa.gov/known-exploited-vulnerabilities-catalog تحليل الثغرة في قاعدة بيانات NIST الوطنية (NVD): https://nvd.nist.gov/vuln/detail/CVE-2025-20393 تحليل تقني لعمليات الاستغلال النشطة (SOC Prime): https://socprime.com/blog/cve-2025-20393-vulnerability-exploitation/

233

01:37

20.12.2025

‼️ اختراق "بوابات الثقة": التحليل الكامل لثغرة سيسكو الحرجة CVE-2025-20393

مع اقتراب نهاية عام 2025، واجهت المؤسسات الكبرى واحداً من أخطر التهديدات السيبرانية التي استهدفت البنية التحتية الشبكية. ثغرة CVE-2025-20393 ليست مجرد خلل برمجي عابر، بل هي "مفاتيح المملكة" التي منحت المهاجمين سيطرة مطلقة على أجهزة تأمين البريد الإلكتروني من شركة سيسكو. بحصولها على درجة خطورة كاملة 10.0 وفقاً لمقياس CVSS، تحولت هذه الأجهزة -التي يُفترض أنها حائط الصد الأول- إلى منصة انطلاق لعمليات تجسس دولية معقدة قبل توفر أي حلول أمنية. التحليل التقني وجذور الخلل البرمجي تندرج هذه الثغرة تحت فئة "التحقق غير السليم من المدخلات" (CWE-20). يكمن الخلل الأساسي في نظام التشغيل Cisco AsyncOS، وتحديداً ضمن واجهة الويب المخصصة لميزة Spam Quarantine. تكمن المشكلة في أن معالج الطلبات في هذه الواجهة يفشل في "تطهير" البيانات الواردة أو التحقق من صحتها قبل تمريرها إلى غلاف النظام الأساسي (System Shell). هذا القصور البرمجي الخطير يسمح لمهاجم يعمل عن بُعد بإرسال طلبات HTTP/HTTPS مصممة بدقة شديدة تحتوي على أوامر نظام مخفية. وبسبب الامتيازات العالية التي تعمل بها هذه الواجهة، يتم تنفيذ الأوامر مباشرة بامتيازات مستخدم root، مما يمنح المهاجم قدرة غير مقيدة على قراءة الملفات، وتعديل إعدادات النظام، والتجسس على المراسلات المؤسسية الحساسة دون الحاجة لأي مصادقة.

‼️ سيناريو الهجوم: رحلة الاختراق من المسح إلى السيطرة

أكدت تقارير الاستخبارات التهديدية أن مجموعة تجسس مرتبطة بالصين تُعرف باسم UAT-9686 قد بدأت بالفعل في استغلال هذه الثغرة كـ "يوم صفر" (Zero-day). وقد اتبع الهجوم تسلسلاً عملياتياً محكماً لضمان النجاح والتخفي :

♦️ الاستطلاع الرقمي: يبدأ المهاجم بمسح واسع لنطاقات الـ IP بحثاً عن المنافذ المرتبطة بواجهة Spam Quarantine لسيسكو، وعادة ما تكون المنافذ 82 لـ HTTP و83 لـ HTTPS. ♦️ الاختراق الأولي: بمجرد تحديد الجهاز المكشوف، يرسل المهاجم طلب POST خبيثاً يستغل ضعف التحقق لتنفيذ أمر نظام أولي يمنحه صلاحيات root الفورية دون الحاجة لاسم مستخدم أو كلمة مرور. ♦️ زرع أدوات الاستمرارية: لضمان البقاء داخل الشبكة حتى بعد إعادة تشغيل الجهاز، يتم حقن باب خلفي (Backdoor) خفيف بلغة بايثون يُسمى AquaShell داخل ملف شرعي يسمى index.py. يعمل هذا الباب بأسلوب الاستماع السلبي وينتظر أوامر مشفرة من المهاجمين. ♦️تأمين الوصول المستمر: يستخدم المهاجمون أداة AquaTunnel لإنشاء قناة SSH عكسية من داخل الجهاز إلى خادمهم الخاص، بالإضافة إلى أداة Chisel التي تمكنهم من التحرك الجانبي واختراق أنظمة أخرى داخل الشبكة الداخلية للمؤسسة. ♦️ محو الأدلة الجنائية: في الخطوة الأخيرة، يتم استخدام أداة AquaPurge لتطهير سجلات النظام (Logs) من أي ذكر لعناوين IP المهاجمين، مما يجعل اكتشاف الحادث عبر الفحص التقليدي أمراً مستحيلاً للمحللين الجنائيين.

‼️ حالة كود الاستغلال: هل يتوفر "Public PoC"؟

حتى الوقت الحالي، لا يوجد دليل على توفر كود استغلال عام (Public PoC) متاح للجمهور على المنصات البرمجية أو منتديات القرصنة. وتعتبر هذه النقطة هامة جداً؛ حيث أن الهجمات المرصودة حالياً هي هجمات "موجهة" ومحدودة النطاق تستخدم أكواد استغلال "خاصة" يمتلكها فقط الفاعل التهديدي المتطور UAT-9686. وبمجرد نشر تفاصيل فنية أوسع أو ظهور محاولات هندسة عكسية للتحديثات، فإن احتمال ظهور كود استغلال عام يظل مرتفعاً، مما قد يؤدي إلى موجة من الهجمات العشوائية. الأنظمة المتأثرة وشروط الإصابة تؤثر الثغرة على كافة إصدارات نظام Cisco AsyncOS التي تشغل الأجهزة التالية (سواء المادية أو الافتراضية):

🔸 Cisco Secure Email Gateway (ESA): البوابة الرئيسية لمعالجة وتصفية البريد الإلكتروني. 🔸Cisco Secure Email and Web Manager (SMA): منصة الإدارة المركزية والتقارير.

شرط الاستغلال: يعتمد نجاح الهجوم حصراً على توفر شرطين؛ الأول هو تفعيل ميزة Spam Quarantine، والثاني هو تعريض واجهتها للوصول المباشر من شبكة الإنترنت العامة.

سبل المواجهة والتوصيات العاجلة

نظراً لخطورة الثغرة واستغلالها الفعلي، قامت وكالة CISA الأمريكية بإدراجها في كتالوج الثغرات المستغلة المعروفة (KEV)، ملزمةً الوكالات الفيدرالية باتخاذ إجراءات فورية بحلول 24 ديسمبر 2025. وتتمثل التوصيات النهائية فيما يلي :

🔸 العزل الفوري: يجب إزالة واجهات الإدارة وواجهة Spam Quarantine من متناول الإنترنت العام فوراً، وجعل الوصول إليها مقتصرًا على شبكات VPN آمنة. 🔸 إعادة بناء الجهاز (Rebuild): في حالة تأكيد الاختراق، تؤكد سيسكو أن "تنظيف الملفات" لا يكفي لاستئصال أدوات المهاجمين العميقة؛ لذا يجب إعادة تثبيت نظام التشغيل AsyncOS بالكامل من مصدر نظيف.

198

01:37

20.12.2025

18:27

19.12.2025

‼️ سنكمل المقالات الـ CVE باللغة العربية الفصحى لكي تكون واضحه اكثر للجميع.

من لا يعرف فهي سلسله أقوم بنشرها اقوم بشرح فيها ثغرات الـ CVE الجديده، حيث ان تتعرف على الثغره بطريقه مفهومة وسلسله، وبالمصادر. ومن لا يتابع القناة فأنت تفوت الكثير تحديداً اذا كنت ان تتعرف على أحدث الثغرات وبشكل تفصيلي، وشكراً.

885

18:21

19.12.2025

https://www.cycognito.com/learn/api-security/owasp-api-security.php

دليل أمان واجهات برمجة التطبيقات وفق تصنيف OWASP 2023.

https://blog.cloudflare.com/react2shell-rsc-vulnerabilities-exploitation-threat-brief/

نبذة عن استغلال ثغرة React2Shell واستراتيجيات التخفيف.

https://nordicapis.com/a-deep-dive-into-the-state-of-the-api-2025/

تفاصيل ثغرة CVE-2025-68109 وآليات العلاج المتاحة.

https://www.cvedetails.com/cve/CVE-2025-68109/

: التوثيق الرسمي ومقاييس الخطورة لثغرة ChurchCRM

https://cybelangel.com/blog/the-api-threat-report-2025/

تحليل حوادث تسريب البيانات الناتجة عن فشل تأمين الـ API.

357

20:24

18.12.2025

‼️ تقرير تحليلي: أمان واجهات برمجة التطبيقات في عام 2025 - دراسة حالة CVE-2025-68109

♦️ المشهد الأمني المتطور لواجهات الـ API في عام 2025 مع مطلع عام 2025، لم تعد واجهات برمجة التطبيقات (APIs) مجرد قنوات لنقل البيانات، بل أصبحت العصب الحيوي للبنى السحابية الحديثة، مما ضاعف من مخاطر تعرضها للهجمات التي تستهدف "منطق العمل" بدلاً من الأخطاء البرمجية التقليدية. وتبرز قائمة OWASP API Security Top 10 2023 كإطار مرجعي لفهم هذه التهديدات، حيث تركز بشكل مكثف على ثغرات التفويض (Authorization) مثل BOLA وBFLA التي تمثل اليوم أكثر من ثلث الحوادث الأمنية المسجلة. وفي هذا السياق، تظهر الثغرة الحديثة CVE-2025-68109 كنموذج عملي يجسد كيف يمكن لخلل بسيط في التحقق من المدخلات أن يؤدي إلى انهيار أمني شامل.

♦️ منظور المهاجم: أسلوب وتكتيكات التنفيذ

لا يعتمد المهاجمون اليوم على العشوائية، بل يتبعون أسلوباً منهجياً يبدأ بـ الاستطلاع الرقمي عبر أدوات فحص آلية مثل Nuclei للكشف عن نقاط النهاية الضعيفة. في عام 2025، لوحظ أن المجموعات المتقدمة (مثل مجموعات Earth Lamia وJackpot Panda) لا تكتفي بالمسح، بل تقوم بعملية "تصحيح أخطاء" (Debugging) حية ومستمرة على الأهداف لتطوير استغلالات مخصصة تضمن النجاح بنسبة تقارب 100%. يتبع المهاجم في ثغرة مثل CVE-2025-68109 الأسلوب التالي:

♦️ تحديد الهدف: التركيز على وظائف الإدارة الحساسة مثل "استعادة قاعدة البيانات" التي غالباً ما تملك صلاحيات واسعة على الخادم. ♦️ التلاعب بالبيئة: بدلاً من محاولة رفع ملف تنفيذي مباشر قد يتم حظره، يستخدم المهاجم ذكاءً منطقياً برفع ملف .htaccess لإعادة توجيه قواعد الخادم، ثم يرفع ملفاً نصياً بسيطاً يحتوي على الكود الخبيث، مما يجعل الخادم يظن أنه يتعامل مع ملفات بيانات عادية بينما هو ينفذ أوامر الاختراق. ♦️ تثبيت الوجود: بمجرد الحصول على موطئ قدم، يشرع المهاجم في تنفيذ أوامر استطلاعية مثل whoami و id للتأكد من مستوى الصلاحيات، ثم يقوم بكتابة ملفات في أدلة مؤقتة مثل /tmp لضمان بقاء الوصول حتى بعد إعادة تشغيل الخدمة.

‼️ تشريح ثغرة ChurchCRM ومقارنتها بالتهديدات الحديثة

تعتبر ثغرة CVE-2025-68109 المكتشفة في نظام ChurchCRM مثالاً حياً على مخاطر تنفيذ الأوامر عن بُعد (RCE). تكمن العلة في فشل النظام في التحقق من محتوى أو امتدادات الملفات المرفوعة، مما يسمح بتنفيذ "غلاف ويب" (Web Shell) يمنح المهاجم صلاحيات كاملة للوصول إلى بيانات الأعضاء والتقارير المالية، مما يرفع خطورتها إلى 9.1. بالنظر إلى الثغرات المعاصرة، نجد أن ثغرة React2Shell (CVE-2025-55182) التي نالت الدرجة القصوى 10.0 تتبع أسلوباً مشابهاً في "إساءة استغلال المنطق"؛ حيث ترسل طلبات HTTP معدلة بدقة تخدع الخادم للقيام بفك تشفير (Deserialization) لبيانات خبيثة تؤدي لتنفيذ كود JavaScript بامتيازات عالية. في كلتا الحالتين، يستغل المهاجم ميزات شرعية في النظام (مثل استعادة البيانات أو بروتوكول Flight في React) لتحويلها إلى ثغرة أمنية. استراتيجيات الدفاع والتحصين لمواجهة هذه الأساليب المتطورة، يجب تبني إستراتيجية "الدفاع في العمق":

♦️ التحديث والترقية: الانتقال الفوري للإصدارات المحصنة (مثل 6.5.3 لـ ChurchCRM أو النسخ الأحدث لـ React/Next.js مثل 19.0.1 و15.4.8). ♦️ التحقق الصارم من المدخلات: ليس فقط بالاعتماد على امتداد الملف، بل بفحص محتواه الرقمي (MIME Type) لضمان عدم وجود أكواد تنفيذية مخفية. ♦️ تقييد الصلاحيات: منع خوادم الويب من معالجة ملفات التكوين مثل .htaccess في أدلة الرفع، واستخدام جدران حماية (WAF) مبرمجة لاكتشاف أنماط الهجوم السلوكية.

‼️ الخلاصة

إن أسلوب المهاجمين في عام 2025 يميل نحو الأتمتة الممزوجة بالتحليل اليدوي الدقيق لمنطق الأعمال. حالات مثل ChurchCRM وReact2Shell تثبت أن الثغرات الأكثر جذباً هي تلك التي تسمح للمهاجم بالتخفي وراء طلبات تبدو شرعية. لذا، تظل التوصية الأساسية هي الحفاظ على جرد دقيق لكافة واجهات API، ومراقبة أي نشاط غير معتاد في سجلات النظام، وتطبيق نماذج تفويض صارمة (مثل ABAC).

المصادر (Sources)

https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/

تقرير استخباراتي حول مجموعات التهديد واستغلال ثغرة React2Shell.

https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182

التقرير الفني حول ثغرات بروتوكول Flight وتأثيرها على السحاب.

273

20:24

18.12.2025

أكثر من 120 شخص لا يتابع القناة من الأساس، إنها مأساه مضحكة.

302

12:06

18.12.2025

close

-18

yesterday

+17

in the last week

+759

in the last month

lock

in the first 24 hours

2.59

ERR over 24 hours

2.8

ERR over 48 hours

2.96

ERR over 72 hours

0.0

Average reach (over 24hr)

758

Total number of posts*

Completed orders on Telega.io

Repeat orders on Telega.io

1 year и 3 months

Channel age

Advertising on the Telegram channel «Hidden Lock Team Offical Channel»

Channel statistics

Reviews channel

Advertising on the Telegram channel «Hidden Lock Team Offical Channel»

Channel statistics

Reviews channel

Catalog of Telegram Channels for Native Placements