الأمن السيبراني والخصوصية

ثغرة حرجة في SimpleHelp تسمح للمخترقين بإنشاء حسابات دعم عن بعد مميزة دون إذن

بقلم Mag-Info Tech editorial · 2026-06-16

كيف تعمل الثغرة وكيف تخترق الأنظمة

اكتشف باحثو أمن المعلومات في شركة Horizon3.ai ثغرة حرجة في برنامج SimpleHelp، وهو أداة شائعة لإدارة الأجهزة عن بعد في المؤسسات. تسمح هذه الثغرة لمخترقين غير مسجلين الدخول بإنشاء حسابات تقنيين مميزة على خوادم SimpleHelp التي تعتمد بروتوكول OpenID Connect (OIDC) للمصادقة. عند استغلالها، يتمكن المهاجم من تسجيل الدخول كتقني مميز دون الحاجة إلى المصادقة الثنائية (MFA)، مما يمنحه صلاحيات واسعة تشمل التحكم الكامل في الأجهزة البعيدة وتنفيذ الأوامر البرمجية.

السبب الجذري للثغرة يكمن في الطريقة التي يتعامل بها SimpleHelp مع تأكيدات الهوية التي يستقبلها من مزودي هوية OIDC. بدلاً من التحقق بشكل صحيح من صحة هذه التأكيدات، يقبل النظام إنشاء حسابات جديدة بناءً على معلومات مزيفة أو متغيرة، مما يسمح بتجاوز آليات المصادقة التقليدية. ووفقًا لما ذكره الباحث زاك هانلي من Horizon3.ai، فإن التقنيين الذين يتم إنشاؤهم بهذه الطريقة يمتلكون صلاحيات إدارية افتراضية، مما يعني أنهم يستطيعون القيام بجميع الأنشطة التي يقوم بها التقنيون الشرعيون، بما في ذلك الوصول إلى الحواسيب البعيدة وتنفيذ الأوامر.

نطاق التأثير: من لا يتأثر ومن يتأثر

على الرغم من أن الثغرة تحمل تصنيفًا حرجًا (CVE-2026-48558) وتؤثر على إصدارات SimpleHelp 5.5.15 والإصدارات السابقة، إلا أنها لا تصيب جميع خوادم SimpleHelp. وفقًا للتحليلات، يتأثر فقط الخوادم التي تعتمد بروتوكول OIDC للمصادقة، سواء كان ذلك باستخدام OIDC العام أو Azure AD OIDC، وهما من أكثر الخيارات شيوعًا في المؤسسات الكبيرة. هذا يعني أن المؤسسات التي لا تزال تستخدم المصادقة التقليدية (مثل كلمات المرور أو المصادقة الثنائية المحلية) غير معرضة لهذه الثغرة.

تشير البيانات التي تم جمعها عبر Shodan إلى أن هناك حوالي 14,000 خادم SimpleHelp متصل بالإنترنت بشكل علني. ومن بين عينة عشوائية من هذه الخوادم، تبين أن 7.2% منها فقط تستخدم بروتوكول OIDC، مما يقلل من نطاق التأثير المحتمل. ومع ذلك، فإن وجود هذه النسبة يعني أن آلاف المؤسسات حول العالم قد تكون معرضة للخطر إذا لم يتم تحديثها. بالإضافة إلى ذلك، وجد الباحثون أن إعداد "Allow group authenticated logins" (السماح بتسجيل دخول المجموعة المصادق عليها) غالبًا ما يكون مفعلاً، مما يزيد من فرص استغلال الثغرة إذا تمكن المهاجم من إرسال تأكيدات هوية مزيفة.

كيف يتم استغلال الثغرة في الواقع

لاستغلال هذه الثغرة، لا يحتاج المهاجم إلى أي معلومات مسبقة عن النظام المستهدف. يكفي أن يكون الخادم متصلاً بالإنترنت ويعتمد بروتوكول OIDC للمصادقة. بعد ذلك، يمكن للمهاجم إرسال طلب تسجيل دخول مزيف إلى واجهة برمجة التطبيقات (API) الخاصة بـ SimpleHelp، مما يؤدي إلى إنشاء حساب تقني جديد بمعلومات تعريفية يمكن التحكم بها بالكامل. بمجرد إنشاء الحساب، يتمكن المهاجم من تسجيل الدخول كتقني مميز والحصول على جميع الصلاحيات المرتبطة بهذا الدور، بما في ذلك الوصول إلى الأجهزة البعيدة وتنفيذ الأوامر البرمجية عليها.

أحد الجوانب الخطيرة في هذه الثغرة هو أنه لا يمكن اكتشافها بسهولة من قبل الضحية، حيث لا تتطلب أي تفاعل من قبل المستخدمين الشرعيين. بالإضافة إلى ذلك، لا تظهر أي علامات واضحة على الخادم تشير إلى وجود حساب مزيف، مما يجعل من الصعب على مسؤولي الأمن اكتشاف الاختراق حتى فوات الأوان. وفقًا للباحثين، يمكن للمهاجمين إنشاء حسابات بأسماء بريد إلكتروني أو أسماء مستخدمين مشبوهة، مما يسهل اكتشافها إذا تم فحص السجلات بانتظام.

الحلول المتاحة: تحديث البرنامج وقيود الوصول

تمكنت شركة SimpleHelp من إصدار إصلاح للثغرة في 9 يونيو، عبر إصدارين جديدين من البرنامج: 5.5.16 للإصدارات القديمة و6.0RC2 للإصدارات التجريبية. يوصي الباحثون والمطورون جميع المستخدمين بتحديث برامجهم إلى أحدث الإصدارات في أسرع وقت ممكن لتجنب التعرض للخطر. ومع ذلك، في الحالات التي لا يمكن فيها التحديث الفوري، هناك حل بديل يتمثل في تقييد مصادر تسجيل دخول التقنيين باستخدام قوائم السماح القائمة على العناوين IP. هذه الطريقة تقلل من فرص استغلال الثغرة من قبل مهاجمين خارجيين، لكنها لا تمنع الاستغلال بالكامل إذا تمكن المهاجم من الوصول إلى شبكة داخلية آمنة.

بالإضافة إلى التحديثات، قدم الباحثون قائمة بعلامات الاختراق (IOCs) التي يمكن أن تساعد في اكتشاف أي محاولات استغلال. من بين هذه العلامات ظهور حسابات تقنيين جديدة بأسماء بريد إلكتروني أو أسماء مستخدمين غير معروفة أو مشبوهة. كما يمكن فحص سجلات الخادم في المسارات التالية:

/opt/SimpleHelp/logs/server.log
/opt/SimpleHelp/logs/server.log يجب البحث في هذه السجلات عن أي تسجيلات جديدة لحسابات تقنيين، أو تغييرات في إعدادات الحسابات، أو تسجيلات دخول غير عادية. إذا تم اكتشاف أي من هذه العلامات، يجب اتخاذ إجراءات فورية مثل إلغاء الحسابات المشبوهة ومراجعة جميع الصلاحيات الممنوحة للتقنيين.

التداول ليس قماراً. توقف عن المقامرة.

نتائج حقيقية من ذكاء MEFAI الاصطناعي.احصل على خصم 50 دولار على الخطة الاحترافية.

احصل على خصم 50 دولار على الخطة الاحترافية →

ممول · الأداء السابق لا يشير إلى النتائج المستقبلية. ليست نصيحة مالية.

لماذا تعتبر هذه الثغرة خطيرة على المؤسسات

على الرغم من أن نطاق التأثير محدود نسبيًا (7.2% فقط من الخوادم المتصلة بالإنترنت)، إلا أن خطورة هذه الثغرة تكمن في الصلاحيات التي تمنحها للمهاجمين. بمجرد إنشاء حساب تقني مميز، يتمكن المهاجم من الوصول إلى جميع الأجهزة البعيدة التي يديرها SimpleHelp، مما قد يؤدي إلى اختراق كامل للأنظمة الداخلية. هذا يشمل إمكانية سرقة البيانات الحساسة، أو تنفيذ هجمات داخلية، أو حتى تثبيت برامج ضارة على الأجهزة البعيدة.

بالإضافة إلى ذلك، فإن هذه الثغرة تظهر مرة أخرى كيف أن الاعتماد على بروتوكولات المصادقة الخارجية (مثل OIDC) يمكن أن يكون مصدرًا للثغرات إذا لم يتم تكوينها بشكل صحيح. في كثير من الأحيان، تركز المؤسسات على حماية الجدران النارية وأنظمة الكشف عن الاختراقات، لكنها تهمل تحديث وإعداد بروتوكولات المصادقة الخارجية، مما يجعلها هدفًا سهلاً للمهاجمين. لذلك، فإن هذه الحادثة تذكير مهم بضرورة مراجعة جميع بروتوكولات المصادقة والتأكد من أنها محمية بشكل صحيح.

ما يجب فعله الآن: خطوات عملية لحماية الأنظمة

أول خطوة يجب اتخاذها هي تحديث جميع خوادم SimpleHelp إلى أحدث الإصدارات المتاحة (5.5.16 أو 6.0RC2). يجب التأكد من أن جميع الخوادم، بما في ذلك تلك التي لا تعتمد بروتوكول OIDC، قد تم تحديثها، لأن التحديثات غالبًا ما تشمل إصلاحات أخرى غير معروفة بعد. بعد التحديث، يجب إعادة فحص إعدادات المصادقة للتأكد من عدم وجود أي إعدادات غير آمنة، مثل السماح بتسجيل دخول المجموعات المصادق عليها دون قيود.

ثانيًا، يجب تطبيق قيود على مصادر تسجيل دخول التقنيين باستخدام قوائم السماح القائمة على العناوين IP. هذه الخطوة تقلل من فرص استغلال الثغرة من قبل مهاجمين خارجيين، لكنها لا تغني عن التحديثات الأمنية. يجب أيضًا مراجعة جميع حسابات التقنيين الحاليين والتأكد من عدم وجود أي حسابات مشبوهة أو غير معروفة. إذا تم اكتشاف أي حسابات غير مصرح بها، يجب إلغاؤها فورًا ومراجعة جميع الصلاحيات الممنوحة لها.

أخيرًا، يجب إعداد رصد مستمر للسجلات (logs) ومراقبة أي تسجيلات جديدة لحسابات تقنيين أو تغييرات في الإعدادات. يمكن استخدام أدوات مثل SIEM أو حلول إدارة السجلات المركزية (log management) لمراقبة السجلات بشكل آلي واكتشاف أي أنشطة مشبوهة في الوقت الفعلي. بالإضافة إلى ذلك، يجب تدريب فرق الأمن على كيفية التعرف على علامات الاختراق المشابهة واتخاذ الإجراءات اللازمة فور اكتشافها.

تأثير الثغرة على السوق والأدوات الأمنية

أظهرت هذه الحادثة كيف أن الثغرات في أدوات إدارة الأجهزة عن بعد يمكن أن تكون لها آثار واسعة النطاق على المؤسسات. على الرغم من أن SimpleHelp ليس الأداة الوحيدة في هذا المجال، إلا أن هذه الثغرة قد تزيد من شكوك المؤسسات حول الاعتماد على مثل هذه الأدوات، خاصة إذا لم تكن مجهزة بشكل صحيح من الناحية الأمنية. من المحتمل أن نرى زيادة في طلب المؤسسات على حلول إدارة الأجهزة عن بعد التي توفر ميزات أمنية متقدمة، مثل المصادقة متعددة العوامل (MFA) بشكل افتراضي، ومراقبة السجلات في الوقت الفعلي، والقدرة على تقييد الوصول بناءً على العناوين IP.

بالإضافة إلى ذلك، من المحتمل أن تزيد هذه الحادثة من اهتمام الشركات المصنعة لأدوات إدارة الأجهزة عن بعد بإجراء مراجعات أمنية شاملة لمنتجاتها، خاصةThose التي تعتمد على بروتوكولات المصادقة الخارجية. قد نرى أيضًا زيادة في استخدام أدوات اختبار الاختراق (penetration testing) وعمليات التدقيق الأمني الدورية لهذه الأدوات، لضمان عدم وجود ثغرات مماثلة في المستقبل.

الخلاصة: لا تتردد في التحديث وحماية الأنظمة

رغم أن هذه الثغرة تؤثر على نسبة صغيرة من خوادم SimpleHelp، إلا أن خطورتها تكمن في الصلاحيات التي تمنحها للمهاجمين. التحديث الفوري إلى أحدث إصدارات البرنامج هو الخطوة الأكثر أهمية لحماية الأنظمة من هذه الثغرة. بالإضافة إلى ذلك، يجب تطبيق قيود على مصادر تسجيل الدخول ومراقبة السجلات بانتظام لاكتشاف أي محاولات استغلال. لا تنتظر حتى فوات الأوان، فالمؤسسات التي لا تتخذ إجراءات فورية قد تجد نفسها ضحايا لهجمات خطيرة قد تؤدي إلى خسائر مالية أو réputationية كبيرة.