ثغرات يوم الصفر
zero-day vulnerability
ثغرات الـ«Zero-Day» هي واحدة من hخطر فئات الثغرات الامنية لانها بحكم التعريف غير معروفة للمصنع او لمجتمع الامان حتى وقت اكتشافها او استغلالها لذلك لا يتوافر تصحيح (patch) عند اكتشافها مما يمنح المهاجمين نافذة استغلال فعالة قبل القدرة على الاصلاح او التخفيف
ما معنى «Zero-Day»
تعني ان المبرمجين لديهم (صفر يوم ) لاصلاح المشكله وعبارت (صفر يوم تعني انه لا يوجد وقت امامك ام الاصلاح او او حدوث حدث غير قابل لسيطره )
ملاحظه : هناك فرق بين
ثغرة الزيرو داي : ثغره غير معلنه او غير معروفه
استغلال الزيرو داي : الشيفرة او الوسيلة التي يستغل بها المهاجم تلك الثغرة
اولا :كيف تكتشف هذه الثغرات ؟
مصادر الاكتشاف الرئيسية تشمل :
1-باحثين امنيين شرعيين وبرامج «باغ باونتي» (bug bounty)
2-فرق استخباراتية او حكومية تقوم بالبحث او الشراء من السوق الاسود
3-مجرِمين يكتشفون ثغرات بالتصييد الهندسه العكسيه او اختبارات عشوائية (fuzzing)
4-انظمة كشف سلوك وشواهد تشغيلية (EDR) التي تلتقط سلوكا غير عادي يمكن ان يكشف استغلالًا جديدا
وفيما يالي سوف نتعرف علي دورت حياه او بمعني اخر المراحل التي تمر بها ثغرت الزيرو داي
دورة حياة ثغرة الزيرو-داي
الاكتشاف : من باحث او مهاجم
الاستغلال (ان وجد) : كتابة شيفرة الاستغلال او دمج الثغرة ضمن حملات هجوم
التداول/الاحتكار : في السوق السوداء او البيع للحكومات/ وسطاء الثغرات
الإفشاء/التنسيق: اما افشاء منسق مع البائع (Responsible Disclosure) او تسريب علني علي الدارك ويب
التصحيح والنشر : انتاج تصحيح من البائع وتطبيقه على الانظمة المتأثرة
بعد ان تعرفنا علي دورت حياه ثغرات الزيرو داي دعونا نتعرف اين توجد هزه الثغرات او بمعني اصح (اسواق الزيرو داي )
(Zero-day markets)
سوق الزيرو-داي : من يشتري ومن يبيع ؟
تتراوح الاطراف بين بائعي ثغرات «اخلاقيين» (مثل برامج المكافات) مشترين حكوميين ورقميين (جهات استخباراتية) والمشترين في السوق السوداء قيمة ثغرات الزيرو-داي قد تصل لمبالغ كبيرة جدا بحسب مدى سهولة الاستغلال ونطاق التأثير هذا السوق يخلق توترًا اخلاقيا بين الحاجة للدفاع والاعتبارات الاستخباراتية اما عن اماكن تواجدها تكون بشكل قاطع في الدارك ويب
الاثر والتهديدات المصاحبه لثغرات الزيرو داي
ثغرات الزيرو داي قد تؤدي إلى :
تنفيذ تعليمات عن بعد (RCE) وسيطرة كاملة على الانظمة
تسريب بيانات حساسة او سرقتهاد
تعطيل خدمات حيوية (DoS) او تعطيل بنية تحتية اقتصادية/حكومية\
تجنيد الاجهزة في حملات طلب فدية او شبكات بوتنت(الزمبي )
امثله علي ثغرات الزيرو داي التي حدثت في عام ( 2025)
1- CVE-2025-29824 ثغرة في CLFS/Windows (استغلال ادى إلى هجمات فدية)
المنتج المتاثر : مكونات سجل الملفات (CLFS) في بعض اصدارات ويندوز
متى/ كيف استخدمت: اعلنت مايكروسوفت عن استغلال نشط واصدرت تحديث امني في 8 ابريل 2025الهجوم ربط بنشاطات رانسوموير تهدف إلى التسلل والاستمرار
الاثر : امكانية تنفيذ تعليمات عن بعد / حركات لاحقة داخل الشبكة (تختلف حسب التكوين)
العلاج : تطبيق تحديثات مايكروسوفت الصادرة فورا مراقبة موشرات الاختراق المرتبطة بالعنقوات (IOCs) التي نشرتها مايكروسوفت مصدر الاعلان عن الثغر ة https://www.microsoft.com/en-us/security/blog/2025/04/08/exploitation-of-clfs-zero-day-leads-to-ransomware-activity
2- CVE-2025-54309 — ثغرة حرجة في CrushFTP (تم استغلالها في يوليو 2025)
المنتج المتاثر : CrushFTP قبل الإصدارات 10.8.5 و11 قبل 11.3.4_23
متى/ كيف استخدمت : تم توثيق استغلال فعلي في يوليو 2025 (معلومات NVD تظهر الاستغلال)\
الأثر: حصول المهاجم على صلاحيات إدارية عبر واجهة HTTPS، مما يسمح بالتحكم الكامل وخسارة السرية/السلامة.
العلاج : تحديث CrushFTP الى الاصدارات الموصاة (او عزل الخدمة عن الانترنت العام حتى التطبيق)فحص سجلات الوصول والبحث عن نشاطات مشبوهة مصدر الثغره https://nvd.nist.gov/vuln/detail/CVE-2025-54309
3-سلسلة ثغرات Cisco (مثال: CVE-2025-20333 وCVE-2025-20362) — صفر داي في اجهزة ASA/FTD
المنتجات المتاثرة : Cisco Adaptive Security Appliance (ASA) وFirepower/FTD واصدارات IOS/IOS-XE مرتبطة
متى/ كيف استخدمت: سبتمبر 2025 ابلغت Cisco عن استغلالات فعليةسلطات مثل CISA اصدرت توجيهات عاجلة للتعرف والتخفيف ثغرات يمكن أن تودي إلى تنفيذ تعليمات عن بعد والاستحواذ على الاجهزة عند سلاسل استغلال
الاثر : فقدان سيطرة على بوابات الشبكة وحدوث اختراقات ممتدة للشبكات الداخلية
العلاج : اتباع advisories وpatches من Cisco فورا اذا عجزت عن التحديث بسرعة ففعل قواعد الوصول عزل الاجهزة الحساسةومراجعة موشرات التسلسل (توجيه CISA ذكر) مصدر الثغره https://www.tenable.com/blog/cve-2025-20333-cve-2025-20362-faq-cisco-asa-ftd-zero-days-uat4356
نكتفي بهزه القدر من الامثله مع انه يوجد العديد والعديد من الحوادث في عام 2025
ييجب ان نعترف انه لايوجد حمايه من ثغرات الزيرو داي قبل حدوثهاولكن يوجد عدت قواعد يجب اتباعها عند الاصابه بثرات الزيرو داي
كيف يمكن للمنظمات والافراد ان يتصرفوا ؟
للمنظمات (مختصر وعملي)
استراتيجية التصحيح سريعة : وجود سياسة Patch Management لاختبار وتطبيق التحديثات فور اصدارها مع عمليات اختبار مسبق في بيئة معزولة
تقليل السطح الهجومي : تقليل الخدمات المكشوفة تعطيل البروتوكولات غير المستخدمة وتطبيق مبدا اقل الامتيازات
استخدام دفاعات طبقية : EDR IDS/IPS مراقبة السلوك تسجيلات مفصلة وتحليلات التهديد هذه الانظمة لا تمنع الزيرو داي دائما لكنها تحسن فرص كشفه والتصدي له
الاستعاداد لاستقبال الحوادث : خطة استجابةونسخة احتياطية مع سياسة استعادة وقنوات اتصال للطوارئ مع البائعين ومجموعات الاستجابة
برامج مكافات للثغرات : تشجيع الباحثين على الافصاح المنسق عبر برامج باغ-باونتي او عبر قنوات ابلاغ رسمية
للمستخدمين الفرديين:
تحدث انظمة التشغيل والتطبيقات فور توفر تحديثات من مصادر رسمية
تعطيل او عزل الخدمات غير الضرورية (مثلاً مشاركة النظام عن بعد إن لم تكن مطلوبة)
الاحتفاظ بنسخ احتياطية دورية وعدم ربط النسخ الاحتياطية بالانظمة الانتاجية مباشرة
الحذر من الروابط والمرفقات المجهولة وعدم رفع صلاحيات الحساب بشكل غير ضروري
ملاحظه يجب ان تعرفها لا توجد طريقة مضمونة لوقف جميع ثغرات الزيروداي مسبقا
ولكن يود طرق للاستعداد لاستقبالها والسيطره عليها
وكدا انتهينا من درس جديد في مجال الامن السيراني وازن الله صوف يكون هناك انشر بصفه يوميه عن ثغرات الزيرو داي في الايام القادمه لمعرفت المزيد تاعني علي
قناتي علي اليوتيوب
ادعمني
https://www.youtube.com/@Harm1903
قنواتي علي تلجرام
https://t.me/+U_m-f-xHBJ0yZjA0
https://t.me/+oIgzytCHDC85NDBk
https://t.me/+e-_xxbMf32JhMzg0
https://t.me/+3xOHvPWvsUA3MGY8
تيك توك
https://www.tiktok.com/@harm_1996
كان معكم HARMواليلام عليكم ورحمت الله وبركاته
