استغلال ثغرات نشطة فـ cPanel، نواة Linux، و GitHub كايبين على هجوم منسق

خلاصة — الثغرة CVE-2026-41940 فـ cPanel/WHM كيتم استغلالها دابا، والمهاجمين كيمسحو بيها المواقع وكينشرو ransomware. الثغرة CVE-2026-31431، لي هي عيب فـ نواة Linux، كتعطي privilege escalation و container escape مضمون على ݣاع التوزيعات الكبيرة من 2017 للقدام. الثغرة CVE-2026-3854 فـ GitHub كتمكن من remote code execution من بعد المصادقة بواسطة كوماند git push واحد. هجمات سلسلة التزويد غادية وكتزيد عن طريق حزم مخترقة وشراكات ديال ransomware.

شنو واقع

هاد السيمانة جمعات سلسلة ديال هجمات متداخلة قاست طبقات البنية التحتية الحساسة. بانو تلاتة ديال النواقل ديال التهديد:

اختراق لوحات التحكم cPanel. الثغرة CVE-2026-41940، لي هي تخطي ديال المصادقة خطير فـ cPanel و WebHost Manager، دخلات لمرحلة الاستغلال النشط. المهاجمين قدرو ياخدو تحكم عالي فلوحات الاستضافة، وهادشي أدى فبعض الحالات لمسح شامل ديال المواقع والنسخ الاحتياطية. بعض الاختراقات نشرات نسخ من پوتنت Mirai وسلالة Sorry ransomware، وهادشي كيرد البنية التحتية المخترقة لنقاط انطلاق لهجمات أخرى.

خطأ منطقي فـ نواة Linux. الثغرة CVE-2026-31431، لي كتقيس ݣاع توزيعات Linux الكبيرة من 2017 للقدام، هي خطأ منطقي فـ القالب الكريپتوغرافي ديال المصادقة فـ النواة. هاد الثغرة يمكن استغلالها بنسبة نجاح 100% عن طريق سكريپت Python الحجم ديالو 732 بايت — وهادشي مختلف على الطبيعة الاحتمالية ديال ثغرات تصعيد الصلاحيات العادية. الاستغلال كيوقع كامل فـ الذاكرة (memory)، بلا ما يخلي أثر فـ الديسك، وكيمكن من الهروب من أي pod ديال Kubernetes. الوكالة الأمريكية CISA زادت هاد الثغرة للائحة ديالها ديال الثغرات المستغلة المعروفة حيت كاينين أدلة على استغلال نشط فـ الواقع.

تنفيذ كود عن بعد فـ GitHub. الثغرة CVE-2026-3854 (بتقييم CVSS 8.7) كتمكن المستخدمين المصادق عليهم باش ينفذو كود عن بعد بـ أمر git push واحد. فـ GitHub.com، هادشي قاس عقد التخزين المشتركة (shared storage nodes). أما فـ GitHub Enterprise Server، الاستغلال كيعطي اختراق شامل للسيڤر، وكيمكن من الوصول لݣاع repositories والأسرار الداخلية (internal secrets) بدون تصريح. مايكروسوفت دارت ترقيع للثغرة فظرف ست أيام من بعد ما بلغوها باحثين أمنيين من Wiz بطريقة مسؤولة.

تصعيد فـ هجمات سلسلة التزويد. المجموعة ديال فاعلي التهديد TeamPCP بقات كتخترق حزم فـ npm، PyPI، و Packagist. الأحداث الأخيرة شملات Trivy (أداة سแกन ديال Aqua Security) و KICS (أداة التحليل الثابت ديال Checkmarx). المهاجمين ستاغلو مسارات CI/CD شرعية باش يوزعو نسخ مسمومة بهويات حقيقية، وهادشي كيمكن النشاط الخبيث يتخبى وسط مسارات التطوير العادية.

سرقة بيانات اعتماد SaaS عن طريق الصوت. جوج مجموعات، Cordial Spider و Snarky Spider، نظمات حملات ديال تصيد (phishing) صوتي أو ما يسمى بـ vishing، كتستهدف بيئات SaaS. المهاجمين وجهو الموظفين عن طريق مكالمات صوتية، رسائل نصية، وإيميلات لصفحات تصيد كتشبه صفحات SSO ديال الشركات، وسرقو بيانات اعتماد، ومن بعد حيدو أجهزة MFA الشرعية ودارو بلاصتها أجهزة كيتحكمو فيها. مسحو تنبيهات الإيميل باش يدرݣو الاختراقات، وستعملو شبكات ديال residential proxies باش يخبيو التحرك الجانبي (lateral movement).

نظام جديد ديال باب خلفي (backdoor). الأداة DEEP#DOOR، لي مبرمجة بـ Python، كتعطي وصول دائم عن بعد بخصائص بحال keylogging، مراقبة الـ clipboard، أخد لقطات شاشة، الوصول للميكروفون والكاميرا، سرقة مفاتيح SSH، الكتابة فوق Master Boot Record، إنشاء processes باش تستهلك الموارد، وتعطيل Microsoft Defender.

نموذج شراكة ديال ransomware. البرنامج VECT 2.0، لي هو ransomware بنظام RaaS و بان فأول مرة فـ دجنبر 2025، أعلن على شراكات مع TeamPCP (بين مارس وأبريل 2026) و BreachForums براسو. بلاصت ما يشفر الملفات الكبيرة، VECT 2.0 كيمسحها، وهادشي كيخلي الاسترجاع ديالها مستحيل حتى من عند المهاجمين براسهم. لوحة التحكم RaaS ديال VECT كتغطي دورة الحياة كاملة من توليد حمولة (payload) حتى لتوزيع الأرباح.

علاش هادشي مهم

هاد الأحداث كتبين مساحة هجوم موحدة كتجمع بين البنية التحتية ديال الاستضافة، صلاحيات النواة، مستودعات الأكواد (code repositories)، وسلسلة التزويد. السرعة والتنسيق كيدلو بلي فاعلي التهديد دابا خدامين ببنية تحتية مستدامة وانضباط تشغيلي.

بالنسبة للمطورين: الثغرة CVE-2026-3854 كتهدد الأكواد بشكل مباشر. المسارات المخترقة (عن طريق TeamPCP وهجمات سلسلة التزويد) كتدخل برمجيات خبيثة (malware) فـ build artifacts فـ وقت التوزيع، وهادشي كيتخطى السแกن التقليدي ديال repositories. نموذج الهجوم كيفترض وجود مصادقة أولية — لي هي بيانات اعتماد تسرقات عن طريق حملات الـ vishing لي نشطة دابا ضد SaaS.

بالنسبة لمديري الأنظمة: الثغرة CVE-2026-31431 خطيرة بزاف حيت كتتخطى العزل ديال الحاويات (container isolation). اختراق ديال pod واحد كينتشر وكيعطي privilege escalation فـ الـ cluster كامل. مديري cPanel لي كيستاضفو مواقع الكليان كيواجهو خطر دمار شامل للبيانات. مشغلي Kubernetes ما عندهم حتى دفاع يلا ما داروش ترقيع للنواة.

بالنسبة لمحللي SOC: هاد الهجمات كتخلي أثر فورنسيك (forensic traces) قليل بزاف. الثغرة CVE-2026-31431 كتستغل غير فـ الذاكرة (memory). حملات الـ vishing كتخبي التحرك الجانبي باستخدام residential proxies. تسميم سلسلة التزويد كيتخبى وسط السجلات (logs) الشرعية ديال CI/CD. الرصد كيحتاج الانتباه للشذوذ السلوكي (بحال تبديل مشبوه فـ MFA، تنفيذ مسارات غير عادية، إنشاء processes ما متوقعاش) بلاصت الطرق لي معتمدة على الـ signatures.

الأنظمة المتضررة و CVEs

• cPanel / WebHost Manager — CVE-2026-41940 (خطيرة، تخطي المصادقة، استغلال نشط)
• نواة Linux (ݣاع التوزيعات الكبيرة من 2017 للقدام) — CVE-2026-31431 (تصعيد الصلاحيات، container escape، موثوقة 100%)
• GitHub.com / GitHub Enterprise Server — CVE-2026-3854 (بتقييم CVSS 8.7، تنفيذ كود عن بعد عبر git push مصادق عليه)
• npm, PyPI, Packagist — تسميم سلسلة التزويد (المصدر ما حددش أرقام CVE محددة)
• مشاريع مفتوحة المصدر — Trivy، KICS، LiteLLM، Telnyx (تم اختراقها من طرف TeamPCP؛ المصدر ما حددش أرقام CVE)

شنو خاصنا نديرو

• خاصنا نديرو ترقيع للثغرة CVE-2026-41940 دابا فݣاع خوادم cPanel و WHM. وتأكدو من سلامة المواقع والنسخ الاحتياطية من بعد أي اختراق محتمل.
• خاصنا نطبقو تحديثات النواة للثغرة CVE-2026-31431 فݣاع توزيعات Linux. ونعطيو الأولوية للأنظمة لي كاتخدم بـ Kubernetes.
• خاصنا نديرو ترقيع للثغرة CVE-2026-3854 فخوادم GitHub.com وݣاع أنظمة GitHub Enterprise Server فظرف ست أيام من الإصدار (نافذة الترقيع سالات بالنسبة للإعلان الأولي؛ تأكدو من جداول الإصدار ديال مايكروسوفت).
• خاصنا نراجعو ونبدلو (rotate) بيانات اعتماد لي مربوطة بـ pipelines، خصوصا الـ tokens ديال GitHub وبيانات اعتماد مزودي السحابة. ونقصو من صلاحيات هاد البيانات لأدنى مستوى (least-privilege). راجعو نسخ الحزم المتضررة (Trivy، KICS، LiteLLM، Telnyx) وبدلو أي بيانات اعتماد لي ممكن تكون تعرضات للخطر.
• خاصنا نزيدو الرؤية والمراقبة فعمليات التثبيت والـ build ديال CI/CD. ونراقبو تنفيذ الـ pipelines المشبوه والتغييرات غير المتوقعة فنسخ الحزم.
• خاصنا نخدمو بمفاتيح أمان هاردوير لـ MFA لي قادرة تقاوم هجمات الـ vishing. ونراجعو سجلات تسجيل أجهزة MFA باش نتأكدو بلي ما كاينينش أجهزة تزادو بلا تصريح.
• خاصنا نراقبو أي مسح أو تعديل فتنبيهات الإيميل، خصوصا هادوك لي متعلقين بالمصادقة أو تغييرات فالبنية التحتية.