الأمن السيبراني

CVE-2026-8037: ثغرة RCE حرجة قبل المصادقة تضرب Progress Kemp LoadMaster (رقّع الآن)

CVE-2026-8037 ثغرة حرجة (CVSS 9.8) لتنفيذ التعليمات البرمجية عن بُعد قبل المصادقة في Progress Kemp LoadMaster، تمنح المهاجمين صلاحيات الجذر عبر طلب API واحد. نُشرت أداة استغلال علنية في 29 يونيو — إليك من المتأثرون وكيفية الترقيع.

وقاص احمد وسیر
وقاص احمد وسیر 1 يوليو 2026 7 دقائق قراءة
CVE-2026-8037: ثغرة RCE حرجة قبل المصادقة تضرب Progress Kemp LoadMaster (رقّع الآن)

ثغرة حرجة في Progress Kemp LoadMaster، يجري تتبّعها باسم CVE-2026-8037، تتيح لمهاجم غير مُصادَق تنفيذ أوامر بصلاحيات الجذر على موازِن الحِمل عبر إرسال طلب واحد مُصمّم خصيصًا إلى واجهة API الخاصة به. تحمل الثغرة درجة CVSS تبلغ 9.8، وتؤثّر على كل إصدارات LoadMaster حتى ترقيع يونيو، ولديها الآن أداة استغلال علنية بإثبات مفهوم (proof-of-concept) — لذا فإن النافذة الفاصلة بين "النظري" و"الانتشار كالدودة عبر الشبكات" تُغلَق بسرعة. إذا كنت تُشغّل LoadMaster مع تفعيل واجهة API، فرقّعه اليوم.

إليك ما هي الثغرة، وأي الإصدارات مكشوفة، وكيف يعمل الاستغلال فعليًا، وما الذي ينبغي فعله قبل أن يعثر شخص آخر على جهازك.

ما هي CVE-2026-8037؟

CVE-2026-8037 ثغرة لتنفيذ التعليمات البرمجية عن بُعد قبل المصادقة في واجهة إدارة LoadMaster API. لا حاجة لبيانات اعتماد، ولا جلسة، ولا تفاعل من المستخدم — فأي مهاجم يستطيع الوصول إلى نقطة نهاية API الخاصة بالجهاز يمكنه تنفيذ أوامر Shell عشوائية بصلاحيات الجذر (root). ولأن LoadMaster هو وحدة تحكم في تسليم التطبيقات (application delivery controller) تقع عادةً عند حافة الشبكة، حيث تُنهي اتصالات TLS وتوجّه حركة المرور إلى الخوادم الخلفية، فإن الحصول على صدفة جذر عليها يقترب من أسوأ موطئ قدم ممكن.

تم الإبلاغ عن الثغرة إلى Zero Day Initiative التابعة لـ Trend Micro من قِبل الباحث Syed Ibrahim Ahmed في 15 أبريل 2026، ونشرت ZDI تنبيهها المنسّق في 9 يونيو. وكانت Progress قد أصدرت بالفعل إصلاحًا في 4 يونيو. والسبب في أنها قصة الآن هو أنه في 29 يونيو نشرت watchTowr Labs تحليلًا تقنيًا كاملًا مع إثبات مفهوم عملي — محوّلةً ثغرة n-day تجاهلها كثير من المسؤولين إلى شيء يستطيع أي مهاجم كفء إعادة إنتاجه الآن.

أي إصدارات LoadMaster متأثرة؟

تضرب الثغرة كلا قناتي الإصدار، لكن فقط عندما تكون واجهة LoadMaster API مُفعَّلة. إذا رقّعت في 4 يونيو أو بعده، فأنت محميّ؛ أما إذا لم تلمس الجهاز منذ الربيع، فأنت مكشوف بشكل شبه مؤكّد.

القناةالإصدارات المتأثرةالإصدار المُرقَّعتاريخ إصدار الإصلاح
GA (الإتاحة العامة)v7.2.63.1 وما قبلهv7.2.63.24 يونيو 2026
LTSF (ميزة الدعم طويل الأمد)v7.2.54.17 وما قبلهv7.2.54.184 يونيو 2026

الشرط المخفّف الوحيد هو واجهة API. فواجهة REST API الخاصة بـ LoadMaster ليست مُفعَّلة افتراضيًا في كل عملية نشر، والأجهزة التي عُطِّلت فيها واجهة API غير قابلة للوصول عبر هذه الثغرة. وهذه أسرع طريقة للتحقق من مدى تعرّضك: إذا كانت واجهة API مُفعَّلة ومتّجهة نحو الإنترنت، فتعامَل مع الجهاز على أنه مخترَق-حتى-يُرقَّع.

كيف يعمل الاستغلال

تكمن الثغرة في دالة مساعِدة تُسمى escape_quotes()، وظيفتها الكاملة هي جعل مُدخلات المستخدم آمنة قبل تمريرها إلى أمر Shell. من المفترض أن تُهرّب علامات الاقتباس المفردة حتى لا يتمكّن المهاجم من الخروج من سلسلة نصية مُقتبَسة وحقن أوامره الخاصة. لكنها بدلًا من ذلك أدخلت خطأين دقيقين في الذاكرة يُبطلان معًا تلك الحماية.

أولًا، خصّصت الدالة مخزنها المؤقّت للمخرجات باستخدام malloc() بدلًا من calloc()، فعادت الذاكرة غير مُهيّأة — مليئة بأي بايتات كانت موجودة من قبل، بما في ذلك بقايا بيانات الكومة (heap). ثانيًا، بعد كتابة السلسلة المُهرَّبة، لم تُضِف أبدًا مُنهيًا فارغًا (null terminator) لتحديد مكان انتهاء السلسلة. وفي مرحلة لاحقة، يستمر __sprintf_chk() في القراءة إلى ما بعد النهاية المقصودة للمخزن المؤقّت داخل ذاكرة الكومة المجاورة.

هذه القراءة الزائدة هي الاستغلال بأكمله. تعالج نقطة النهاية /accessv2 جسم JSON يحتوي على الحقلين apiuser وapipass. يرسل المهاجم أربع علامات اقتباس مفردة في apiuser، تتوسّع إلى 16 بايتًا مُهرَّبًا وتطمس بيانات تعريف المُخصِّص في الكُتَل المُحرَّرة المجاورة، بينما ترشّ أزواج المفتاح-القيمة الإضافية في JSON حمولات الأوامر عبر الكومة. وعندما يُقرأ المخزن المؤقّت غير المُنهى، يصطدم مباشرةً بالحمولة المرشوشة، ويُنفَّذ الأمر عبر استدعاء system() الأساسي — بصلاحيات الجذر. وإصلاح Progress هو تمامًا ما تتوقّعه: التحوّل إلى calloc() للحصول على ذاكرة مُصفَّرة وإنهاء السلسلة صراحةً بمُنهٍ فارغ.

هل يجري استغلالها في البرية؟

حتى 1 يوليو 2026، لا يوجد استغلال مؤكَّد في البرية، وCVE-2026-8037 غير مُدرَجة بعد في كتالوج الثغرات المعروفة المُستغَلّة (Known Exploited Vulnerabilities) الخاص بـ CISA. لكن هذا عزاء بارد. فالفجوة بين إثبات المفهوم العلني والمسح الشامل باتت تُقاس روتينيًا بالساعات إلى الأيام، لا بالأسابيع — إذ تُبصَم أجهزة الحافة بواسطة الماسحات التي تجوب الإنترنت بأكمله فور نشر أي تحليل تقريبًا. إن ثغرة RCE بصلاحيات الجذر قبل المصادقة بدرجة CVSS 9.8 على موازِن حِمل مُتّصل بالإنترنت، مع تداول شيفرة استغلال عاملة بالفعل، هي بالضبط النمط الذي يتسابق شركاء برامج الفدية ووسطاء الوصول الأولي لتسليحه. تعامَل مع "لم تُستغَل بعد" على أنها "لم يحن دورك بعد".

ما الذي يجب فعله الآن

المعالجة غير برّاقة لكنها عاجلة:

  • رقّع فورًا إلى GA v7.2.63.2 أو LTSF v7.2.54.18 (أو أحدث). هذا هو الإصلاح الحقيقي الوحيد.
  • إذا لم تستطع الترقيع في هذه اللحظة، فعطّل واجهة LoadMaster API أو قيّدها بشبكة إدارة موثوقة. الثغرة غير قابلة للوصول عند إيقاف واجهة API، ولا ينبغي أبدًا تعريضها للإنترنت العام بأي حال.
  • افترض حدوث اختراق لأي جهاز ظلّ دون ترقيع بينما كان مُتّصلًا بالإنترنت. بدّل بيانات الاعتماد ومفاتيح TLS التي عالجها الجهاز، وابحث عن عمليات أو مهام cron أو تغييرات في التهيئة غير متوقعة — فوجود صدفة جذر يعني أن المهاجم قد يكون رسّخ وجوده قبل أن ترقّع.
  • جزّئ مستوى الإدارة لديك. واجهات الإدارة (Admin APIs) على أجهزة الحافة مكانها خلف VPN أو مضيف حصين (bastion)، لا مكشوفة للعالم. هذا هو الدرس نفسه الذي يعود إليه دائمًا تحليلنا لـ zero trust مقابل VPN: لا تثق أبدًا بحافة الشبكة افتراضيًا.

لماذا تظل أجهزة الحافة نقطة الضعف

ليست CVE-2026-8037 زلّة معزولة — بل هي أحدث إدخال في نمط عرّف اختراقات الشركات على مدى ثلاث سنوات. Citrix NetScaler وIvanti Connect Secure وFortinet FortiOS وF5 BIG-IP: الأجهزة التي تعيش عند المحيط، وتتحدّث لغة C مخصّصة، ونادرًا ما يُعاد تشغيلها، هي التي ينقّب فيها المهاجمون بأشد ما يكون، لأن ثغرة واحدة تمنح صلاحيات الجذر قبل المصادقة عند نقطة الاختناق نفسها التي تتدفق منها كل حركة المرور. موازِنات الحِمل والبوابات هي قواعد شيفرة قديمة ترتدي واجهة ويب حديثة، والأخطاء البرمجية في الذاكرة مثل زلّة الكومة غير المُهيّأة هذه مستوطنة في سباكة C تلك.

الخلاصة الدفاعية ليست "اشترِ جهازًا مختلفًا". إنها تشغيلية: أحصِ كل جهاز حافة وإصدار برنامجه الثابت (firmware)، واشترك في خلاصة الأمان الخاصة بالمورّد لتعرف بالإصلاح في اليوم صفر بدلًا من اليوم 25، وأبقِ واجهات الإدارة بعيدًا عن الإنترنت العام، ورقّع معدات الحافة على وتيرة أسرع من بقية أسطولك. المؤسسات التي اكتوت بنار أزمة سلسلة توريد npm وبكل موجة NetScaler قبلها كان لها السبب الجذري نفسه — كان الترقيع موجودًا ولم يطبّقه أحد في الوقت المناسب. LoadMaster يسلّمك الترقيع قبل ثلاثة أسابيع. استغل هذه الأفضلية الزمنية.

الأسئلة الشائعة

هل يجري استغلال CVE-2026-8037 بنشاط؟

لم يُبلَّغ عن أي استغلال مؤكَّد في البرية حتى 1 يوليو 2026، وهي ليست في كتالوج KEV الخاص بـ CISA بعد. لكن يوجد إثبات مفهوم علني عامل منذ 29 يونيو، لذا ينبغي اعتبار محاولات الاستغلال ضد الأجهزة المكشوفة غير المُرقَّعة وشيكة.

كيف أعرف ما إذا كان LoadMaster لديّ مُعرَّضًا؟

تحقّق من إصدار LMOS لديك ومما إذا كانت واجهة API مُفعَّلة. إصدارات GA v7.2.63.1 وما قبلها، وإصدارات LTSF v7.2.54.17 وما قبلها، مُعرَّضة عندما تكون واجهة API مُفعَّلة. أما إذا كانت واجهة API مُعطَّلة، فهذه الثغرة تحديدًا غير قابلة للوصول.

ما الإصدار الذي يُصلحها؟

أصدرت Progress الإصلاح في 4 يونيو 2026: رقِّ إلى GA v7.2.63.2 أو LTSF v7.2.54.18 (أو أحدث). يستبدل الترقيع تخصيص الذاكرة المعيب ويضيف المُنهي الفارغ المفقود.

ماذا يستطيع المهاجم أن يفعل بها؟

تنفيذ أوامر عشوائية بصلاحيات الجذر على موازِن الحِمل دون مصادقة — سيطرة كاملة على جهاز يُنهي عادةً اتصالات TLS ويوجّه حركة المرور الداخلية. وهذا يجعلها منصة انطلاق لاعتراض حركة المرور، والتمحور داخل الشبكة الداخلية، ونشر برامج الفدية.

هل يمكنني التخفيف دون ترقيع؟

مؤقتًا، نعم: عطّل واجهة LoadMaster API أو قيّدها بشبكة إدارة موثوقة بحيث لا تكون نقطة النهاية /accessv2 المُعرَّضة قابلة للوصول. هذا حل مؤقّت — طبّق الترقيع الرسمي في أقرب وقت ممكن.

المصادر

وقاص احمد وسیر

وقاص احمد وسیر

وقاص احمد وسیر مطوّر ومهندس أتمتة بخبرة تزيد على 8 سنوات في بناء أنظمة إنتاجية يستخدمها أكثر من 100 ألف شخص. يبني تطبيقات SaaS متعددة المستأجرين، وأتمتة بالذكاء الاصطناعي (n8n، تدفقات LLM، بوتات واتساب)، وبنية استضافة (WHM/cPanel، CloudLinux) — وهو صانع WaSphere وFlowMaticX وعلامة الاستضافة WaseerHost. أنجز أكثر من 100 مشروع لشركات صغيرة ومتوسطة ووكالات وشركات ناشئة ممولة.

ذات صلة

المزيد في الأمن السيبراني

عرض الكل

النقاش · 0

كن لطيفًا. التعليقات علنية.

    النشرة البريدية · إصدار الاثنين

    ملخّص الاثنين.

    بريد واحد كل صباح اثنين. الأسبوع المقبل في الذكاء الاصطناعي والشركات الناشئة والاستضافة وأدوات المطوّرين — بلا حشو، وبلا إعلانات مموّهة.

    مجاني. يمكنك إلغاء الاشتراك بنقرة واحدة.