Home
الأرشيف

تنفيذ تعليمات برمجية عن بُعد بدون تسجيل دخول: ثغرة CVE-2025-34028 تهدد مستخدمي Commvault

اكتشف تفاصيل ثغرة CVE-2025-34028 في Commvault Command Center، وكيفية استغلالها، وأفضل الطرق لحماية بياناتك من هجمات تنفيذ التعليمات البرمجية عن بُعد.
Cybersecurity Arab

تُعد ثغرات تنفيذ التعليمات البرمجية عن بُعد (Remote Code Execution - RCE) من أخطر التهديدات الأمنية في عالم الأمن السيبراني. في 17 أبريل 2025، أعلنت Commvault عن ثغرة أمنية حرجة تحمل الرقم CVE-2025-34028 في Commvault Command Center، حيث حصلت على درجة CVSS 9.0/10.0. تتيح هذه الثغرة للمهاجمين تنفيذ تعليمات برمجية عشوائية دون مصادقة، مما يهدد بـاختراق كامل لبيئة إدارة البيانات. في هذا المقال، سنستعرض تفاصيل الثغرة، كيفية استغلالها، وأفضل الممارسات لحماية مؤسستك.

تنفيذ تعليمات برمجية عن بُعد بدون تسجيل دخول: ثغرة CVE-2025-34028 تهدد مستخدمي Commvault
تنفيذ تعليمات برمجية عن بُعد بدون تسجيل دخول: ثغرة CVE-2025-34028 تهدد مستخدمي Commvault

ما هي ثغرة CVE-2025-34028 ولماذا هي خطيرة؟

ثغرة CVE-2025-34028 هي ثغرة عبور المسار (Path Traversal) في واجهة الويب الخاصة بـCommvault Command Center، وهي أداة أساسية لإدارة النسخ الاحتياطي والاستعادة في المؤسسات. اكتشفها الباحث Sonny Macdonald من watchTowr Labs في 7 أبريل 2025، وتؤثر على الإصدارات 11.38.0 إلى 11.38.19. تتيح الثغرة للمهاجمين استغلال نقطة نهاية deployWebpackage.do، مما يؤدي إلى Server-Side Request Forgery (SSRF) وتنفيذ تعليمات برمجية عن بُعد بدون مصادقة.

خصائص الثغرة الخطيرة

  • عدم الحاجة إلى مصادقة: يمكن لأي مهاجم استهداف النظام دون بيانات اعتماد.
  • سهولة الاستغلال: تتطلب تعقيدًا منخفضًا، مما يجعلها جذابة للمهاجمين.
  • استهداف الأنظمة الحساسة: تؤثر على بيئات إدارة البيانات الحرجة.
ملاحظة: الثغرة مقتصرة على وحدة Command Center ولا تؤثر على مكونات Commvault الأخرى.

كيف يستغل المهاجمون ثغرة CVE-2025-34028؟

يستغل المهاجمون ثغرة Commvault Command Center عبر سلسلة خطوات تتيح تنفيذ تعليمات برمجية ضارة. يعتمد الهجوم على نقطة نهاية deployWebpackage.do وعيوب في التحقق من المدخلات. إليك كيفية تنفيذ الهجوم:

خطوات استغلال الثغرة

  1. إرسال طلب HTTP: يرسل المهاجم طلبًا إلى /commandcenter/deployWebpackage.do لجلب ملف ZIP من خادم خارجي.
  2. فك ضغط الملف: يتم فك ضغط الملف في مجلد مؤقت على الخادم.
  3. عبور المسار: يستخدم المهاجم معلمة servicePack لنقل الملفات إلى مجلد ويب، مثل ../../Reports/MetricsUpload/shell.
  4. تنفيذ الشل: يتم تنفيذ ملف .JSP ضار، مما يمنح المهاجم سيطرة كاملة.

لتوضيح، إليك نموذج طلب ضار:

POST /commandcenter/deployWebpackage.do HTTP/1.1
Host: vulnerable-commvault.com
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary

------WebKitFormBoundary
Content-Disposition: form-data; name="servicePack"

../../Reports/MetricsUpload/shell
------WebKitFormBoundary
Content-Disposition: form-data; name="file"; filename="malicious.zip"

[ZIP file content with malicious JSP]
------WebKitFormBoundary--

قدمت watchTowr Labs أداة Detection Artefact Generator للتحقق من التعرض لهذه الثغرة. تعرف على المزيد عبر موقع watchTowr.

تأثير الثغرة على المؤسسات

تُشكل ثغرة CVE-2025-34028 خطرًا كبيرًا على المؤسسات التي تعتمد على Commvault Command Center لإدارة النسخ الاحتياطي. تشمل التأثيرات المحتملة:

المخاطر الرئيسية

  • اختراق النظام: سيطرة كاملة على الخادم، مما يعرض البيانات للخطر.
  • هجمات الفدية: تعطيل النسخ الاحتياطية، وهو هدف شائع لبرامج الفدية.
  • تسرب البيانات: استخراج بيانات العملاء أو الموظفين الحساسة.
الجانب التأثير
الأمان اختراق كامل لبيئة Command Center
البيانات تسرب أو تعديل البيانات الحساسة
الخدمات تعطيل عمليات النسخ الاحتياطي والاستعادة
ملخص تأثيرات ثغرة CVE-2025-34028

كيفية حماية مؤسستك من ثغرة CVE-2025-34028

لحماية أنظمتك من هذه الثغرة الحرجة، اتبع هذه الخطوات العاجلة:

إجراءات الحماية

  1. تحديث فوري: قم بالترقية إلى الإصدارات 11.38.20 أو 11.38.25 لإصلاح الثغرة.
  2. عزل الأنظمة: إذا لم يكن التحديث ممكنًا، عزل Command Center عن الشبكات الخارجية.
  3. مراقبة النشاط: راقب طلبات POST إلى /deployWebpackage.do للكشف عن محاولات الاستغلال.
  4. استخدام أدوات الكشف: استخدم أداة watchTowr للتحقق من التعرض للثغرة.
نجاح! التحديث إلى الإصدارات المصححة يقضي على مخاطر هذه الثغرة. تصرف الآن!

الأسئلة الشائعة حول ثغرة CVE-2025-34028

إجابات على استفساراتك

هل تؤثر الثغرة على جميع إصدارات Commvault؟

لا، تؤثر فقط على إصدارات Innovation Release من 11.38.0 إلى 11.38.19. إصدارات Long-Term Support آمنة.

هل هناك دليل على استغلال الثغرة؟

لا توجد تقارير مؤكدة عن استغلال الثغرة، لكن توفر Proof-of-Concept يزيد من المخاطر.

ماذا لو لم أتمكن من التحديث فورًا؟

عزل Command Center ونشر قواعد WAF/NGFW لمنع الوصول إلى /deployWebpackage.do.

الخاتمة: حماية بياناتك من التهديدات الأمنية

تُبرز ثغرة CVE-2025-34028 أهمية تحديث الأنظمة وتعزيز الأمن السيبراني. مع درجة CVSS 9.0، تشكل هذه الثغرة خطرًا كبيرًا على المؤسسات التي تستخدم Commvault Command Center. من خلال التحديث الفوري، عزل الأنظمة، واستخدام أدوات الكشف، يمكنك حماية بياناتك من هجمات تنفيذ التعليمات البرمجية عن بُعد. ابقَ متقدمًا على التهديدات باتباع أفضل الممارسات الأمنية.

دعوة للعمل: قم بتحديث Commvault اليوم وتأكد من أمان أنظمتك! تابع مقالاتنا للحصول على أحدث النصائح الأمنية.

استكشف المزيد من النصائح عبر قناتنا لتحديثات الأمن السيبراني أو اقرأ الإشعار الأمني الرسمي.

Post a Comment