أطلقت شركة «أدوبي» الرائدة في مجال البرمجيات، يوم السبت، تحديثاً أمنياً طارئاً يهدف إلى معالجة ثغرة يوم الصفر شديدة الخطورة في برنامجي «أكروبات» و«ريدر». وقد استغل قراصنة الإنترنت هذه الثغرة لعدة أشهر في هجمات فعلية عبر ملفات PDF خبيثة. وفي خطوة تعكس مدى خطورة الموقف، حثت الشركة جميع المستخدمين المتأثرين على ضرورة تثبيت التحديثات خلال فترة لا تتجاوز 72 ساعة لتجنب الوقوع ضحية لهذه الهجمات السيبرانية.
تفاصيل الثغرة الأمنية ومستوى خطورتها
تُعرف هذه الثغرة الأمنية بالرمز (CVE-2026-34621)، وهي تُصنف ضمن ثغرات تلوث النموذج الأولي. وقد حصلت على تقييم خطورة مرتفع جداً بلغ 9.6 من أصل 10 وفقاً لنظام تقييم الثغرات المشترك (CVSS). وبحسب النشرة الأمنية الصادرة عن شركة «أدوبي» والتي تحمل الرقم (APSB26-43)، فإن الاستغلال الناجح لهذه الثغرة يسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية على كل من أنظمة «ويندوز» و«ماك أو إس» بمجرد قيام الضحية بفتح ملف PDF مفخخ. وقد أكدت الشركة رسمياً أن هذه الثغرة تخضع للاستغلال النشط من قبل جهات خبيثة.
تسلسل زمني لاكتشاف الهجمات
كان الباحث الأمني «هايفي لي»، وهو مؤسس منصة اكتشاف الثغرات (EXPMON)، أول من كشف علناً عن ثغرة يوم الصفر هذه في 7 أبريل، وذلك بعد أن قام نظامه برصد عينة مشبوهة لملف PDF تم إرسالها في 26 مارس. ومن خلال التحقيقات المعمقة التي أجراها «لي»، تبين أن هذه الحملة الخبيثة تعود إلى أواخر شهر نوفمبر من عام 2025 على أقل تقدير، وهو الوقت الذي ظهر فيه أقدم ملف خبيث معروف يحمل اسم «Invoice540.pdf» على منصة فحص البرمجيات الخبيثة.
الآلية التقنية للاستغلال السيبراني
تعتمد آلية الهجوم على استغلال واجهتين من واجهات برمجة تطبيقات «جافا سكريبت» الخاصة ببرنامج «أكروبات» والتي تتمتع بصلاحيات عالية، وهما (util.readFileIntoStream) و(RSS.addFeed). يستخدم المهاجمون هذه الواجهات لقراءة الملفات المحلية، وجمع بيانات دقيقة حول نظام الضحية، ثم تسريب هذه البيانات المجمعة إلى خوادم يتحكم فيها القراصنة. وبدلاً من نشر حمولة خبيثة كاملة على الفور، يقوم المهاجمون أولاً بدراسة وتحليل الأهداف، ثم يقدمون بشكل انتقائي استغلالات للمرحلة الثانية قادرة على تنفيذ كود عن بُعد أو الهروب من بيئة الحماية المعزولة للأنظمة التي يعتبرونها ذات قيمة عالية.
«تتيح هذه الآلية المتقدمة لجهات التهديد جمع معلومات المستخدمين، وسرقة البيانات المحلية، وإجراء عمليات بصمة دقيقة للنظام، مما يمهد الطريق لشن هجمات مستقبلية أكثر تعقيداً»، هكذا صرح الباحث «هايفي لي» حول طبيعة هذا التهديد.
استهداف البنية التحتية والمؤسسات الحيوية
من جانبه، وجد باحث البرمجيات الخبيثة «جوسيبي ماسارو»، الذي قام بتحليل العينات المكتشفة، أن ملفات PDF المفخخة تعرض مستندات باللغة الروسية تظهر كصور تعمل كطعم بصري للضحايا. وتتضمن محتويات هذه المستندات إشارات إلى انقطاع إمدادات الغاز وإجراءات الاستجابة للطوارئ. وهذا يشير بقوة إلى أن الأهداف المقصودة من هذه الحملة هم أفراد ناطقون باللغة الروسية، ومن المرجح أنهم يعملون في مؤسسات حكومية، أو قطاعات الطاقة، أو البنية التحتية الحيوية.
التصحيحات الأمنية والتدابير الوقائية المطلوبة
أصدرت شركة «أدوبي» التصحيح الأمني تحت تصنيف الأولوية رقم 1، وهو أعلى مستوى استعجال لدى الشركة. ويغطي هذا التحديث إصدارات «أكروبات ريدر» (24.001.30356) و(26.001.21367) والإصدارات الأقدم منها. وبالنسبة للمؤسسات التي لا تستطيع إجراء التحديث الفوري، يوصى بشدة باتخاذ سلسلة من التدابير المؤقتة لتأمين شبكاتها.
- تعطيل تنفيذ تعليمات «جافا سكريبت» في برنامج «أدوبي ريدر».
- توجيه ملفات PDF غير الموثوقة إلى برامج عرض بديلة لا تدعم واجهات برمجة تطبيقات «جافا سكريبت» الموسعة الخاصة بالشركة.
- حظر حركة مرور البيانات عبر بروتوكولات (HTTP) و(HTTPS) التي تحتوي على عبارة (Adobe Synchronizer) في ترويسة وكيل المستخدم.
تأثير ثغرات يوم الصفر على الأمن السيبراني
تعتبر ثغرات يوم الصفر من أخطر التهديدات في عالم الأمن السيبراني، حيث تكتشفها وتستغلها الجهات الخبيثة قبل أن تدرك الشركة المطورة للبرنامج وجودها بوقت طويل. وفي حالة هذه الثغرة، أتاح الفارق الزمني بين بدء الاستغلال في أواخر عام 2025 وبين الكشف عنه في عام 2026 فرصة ذهبية للمهاجمين لاختراق شبكات حساسة وسرقة بيانات استراتيجية دون ترك بصمات واضحة في المراحل الأولى. إن الاعتماد المتزايد على ملفات الوثائق الرقمية في بيئات العمل اليومية يجعل من تأمين هذه البرامج أولوية قصوى.
أهمية سياسة الثقة المعدومة في المؤسسات
تسلط هذه الحادثة الضوء على ضرورة تبني المؤسسات لاستراتيجية الثقة المعدومة في البنية التحتية التقنية. من خلال هذا النهج، يتم التعامل مع جميع الملفات الواردة، بما في ذلك ملفات الوثائق الشائعة، على أنها تهديدات محتملة حتى يثبت عكس ذلك. كما تؤكد هذه الهجمات المعقدة على أهمية تحديث الأنظمة باستمرار واستخدام أدوات متقدمة للكشف عن التهديدات قادرة على تحليل السلوك غير الطبيعي للبرامج والتطبيقات لمنع تنفيذ أي تعليمات برمجية غير مصرح بها.
الأسئلة الشائعة
ما هي تفاصيل التحديث الأمني الطارئ من أدوبي؟
أطلقت أدوبي تحديثاً عاجلاً لإصلاح ثغرة يوم الصفر (CVE-2026-34621) في برنامجي أكروبات وريدر، والتي تسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية والسيطرة على الأنظمة بمجرد فتح المستخدم لملف PDF خبيث.
من هم الضحايا المستهدفون في هذه الهجمات السيبرانية؟
أظهرت التحليلات الأمنية أن المهاجمين استهدفوا أفراداً ناطقين باللغة الروسية من خلال مستندات تمويهية تتعلق بأزمات إمدادات الغاز، مما يشير إلى استهداف مؤسسات حكومية، وقطاعات طاقة، وبنية تحتية حيوية.
ما هي الإجراءات الوقائية للمؤسسات التي لا تستطيع التحديث فوراً؟
يُنصح بضرورة تعطيل تنفيذ «جافا سكريبت» في أدوبي ريدر، واستخدام برامج عرض بديلة وآمنة لفتح الملفات غير الموثوقة، بالإضافة إلى حظر حركة مرور البيانات التي تتضمن عبارة (Adobe Synchronizer) في وكيل المستخدم لتقليل المخاطر.
