المديرية العامة لأمن نظم المعلومات تصدر 58 تحذيرا أمنيا خلال شهر واحد – ماي 2025 –

عرف شهر ماي 2025 نشاطا مكثفا في مجال الأمن السيبراني، تميز بتتبع واكتشاف عدد كبير من الثغرات والهجمات المتقدمة، حيث لعبت المديرية العامة لأمن نظم المعلومات دورا محوريا في التحذير منها، عبر إصدار تنبيهات أمنية وتوصيات تقنية تهدف إلى حماية البنية التحتية الرقمية الوطنية.

هذا التقرير يلخص أبرز التحديثات الأمنية والتهديدات التي تم الإعلان عنها خلال هذا الشهر

أبرز الثغرات والتحذيرات الأمنية:

الثغرات الحرجة:

• WSO2 API Manager – ثغرة حرجة تسمح بتنفيذ تعليمات عن بُعد (27 ماي).
• Navigateurs Web:
  • Google Chrome: عدة ثغرات، من بينها Zero-day مستغل (16 ماي).
  • Mozilla Firefox: ثغرات حرجة تم التبليغ عنها عدة مرات خلال الشهر.
• VMware: ثغرات متعددة في عدة منتجات، منها Cloud Foundation (20 ماي).
• WordPress Plugins & Themes:
  • ثغرة حرجة في Crawlomatic وPGS Core وOttoKit.
  • ثغرة حرجة في قالب Motors الشهير.
• Linux Kernel وGrafana: تم الإبلاغ عن ثغرات من نوع Zero-Day (23 ماي).
• Netgear Routers: ثغرة حرجة تسمح بتنفيذ هجمات عن بُعد (26 ماي).

هجمات سلسلة التوريد (Supply Chain):

• Compromission de RVTools (20 ماي).
• Compromission d’un package npm (12 ماي).

منتجات وتطبيقات مستهدفة:

• Microsoft (Patch Tuesday – ماي 2025): إصدار تحديثات لعدد كبير من الثغرات في:
  • Windows
  • Azure
  • Office
  • Outils de développement
• Cisco وPalo Alto Networks وFortinet وSonicWall: تعرّضت منتجاتها لثغرات حرجة ومتقدمة.
• Produits industriels:
  • Schneider Electric
  • Siemens
  • Juniper Networks
• Apple وAndroid: ثغرات حرجة على أنظمة تشغيل الأجهزة المحمولة.

مكتبات وأطر برمجية مستهدفة:

• Node.js – ثغرات تهدد تطبيقات الخوادم (16 ماي).
• Spring Framework – تهديد يمس الأمن البنيوي للتطبيقات (20 ماي).
• ADOdb (PHP) وOpenPGP.js – ثغرات حرجة تؤثر على التشفير والتعامل مع قواعد البيانات.

أدوات وأطر DevOps مستهدفة:

• GitLab, Jenkins Plugins, Atlassian Products, Zoom, RVTools, وIvanti Endpoint Manager Mobile: إعلانات متكررة عن ثغرات بعضها مستغَل.

روابط النشرات الأمنية