أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) تحذيراً حرجاً يفيد بأن ثغرة خطيرة في مايكروسوفت شير بوينت، تم ترقيعها في الأصل في يناير 2026، يتم استغلالها الآن بنشاط في الهجمات. تُعرف هذه الثغرة بالرقم CVE-2026-20963، وتؤثر على إصدارات متعددة من منصة التعاون المؤسسي، بما في ذلك SharePoint Enterprise Server 2016 و SharePoint Server 2019 و SharePoint Server Subscription Edition. تنشأ هذه الثغرة من عملية إلغاء تسلسل غير آمنة للبيانات غير الموثوقة، وهي نقطة ضعف شائعة ولكنها خطيرة في البرمجة. وفقاً للنصيحة الأصلية من مايكروسوفت، يمكن لمهاجم غير مصادق عليه يعتمد على الشبكة استغلال هذه الثغرة لكتابة وتنفيذ كود تعسفي عن بُعد على خوادم شير بوينت الضعيفة، مما يمنحه التحكم الكامل فيما يُوصف بـ "هجمات منخفضة التعقيد".
رداً على الاستغلال النشط، اتخذت CISA إجراءً حاسماً بإضافة CVE-2026-20963 إلى كتالوج الثغرات المعروفة المستغلة (KEV). يفرض هذا القرار على جميع وكالات الفرع التنفيذي المدني الفيدرالي (FCEB)—التي تشمل إدارات حيوية مثل الأمن الداخلي والطاقة والعدالة والدولة—تطبيق تحديث الأمان المتاح وتأمين أنظمتها بحلول السبت، 21 مارس 2026. يؤكد التوجيه التشغيلي الملزم (BOD 22-01) التهديد الفوري الذي تشكله هذه الثغرة على الشبكات الفيدرالية. من الجدير بالذكر أنه بينما قامت مايكروسوفت بتحديث نصيحتها لهذه الثغرة يوم الثلاثاء السابق لإعلان CISA، فإن الشركة لم تعلن بعد رسمياً أنها مستغلة في الهجمات، مما يسلط الضوء على الطبيعة الاستباقية والعاجلة لتنبيه وكالة الأمن السيبراني الفيدرالية.
يأتي استغلال ثغرة شير بوينت هذه في خضم مشهد من التهديدات السيبرانية الهامة الأخرى، كما يتضح من التقارير الحديثة للقطاع. تشمل هذه التهديدات ترقيع ثغرة في ConnectWise ScreenConnect تسمح باختطاف الخادم، وظهور استغلال iOS يُدعى 'DarkSword' يُستخدم في حملات سرقة المعلومات، وحملة البرمجيات الخبيثة الواسعة الانتشار 'GlassWorm' التي أثرت على أكثر من 400 مستودع كود على منصات مثل GitHub و npm. يؤكد استهداف منصة خادم مؤسسي حرجة مثل شير بوينت بنشاط تركيز جهات التهديد المستمر على البرمجيات التجارية واسعة الاستخدام للحصول على وصول أولي، أو نشر برامج الفدية، أو القيام بأنشطة تجسس. يُحث بشدة المؤسسات خارج الحكومة الفيدرالية على معاملة توجيه CISA كمعيار حاسم وتطبيق تحديثات ترقيع الثلاثاء لشهر يناير 2026 على الفور لتخفيف المخاطر.
بينما لم تفرج CISA عن تفاصيل محددة فيما يتعلق بطبيعة أو نطاق الهجمات الجارية التي تستغل CVE-2026-20963، فإن إدراجها في كتالوج KEV هو مؤشر موثوق على استغلال حقيقي. يجب على فرق الأمن إعطاء الأولوية لجرد وترقيع جميع حالات خوادم شير بوينت المتأثرة. بالنسبة للبيئات التي لا يكون الترقيع الفوري فيها ممكناً، يعد تنفيذ ضوابط شبكة صارمة، مثل تجزئة خوادم شير بوينت وتقييد حركة المرور الواردة من الشبكات غير الموثوقة، تخفيفاً مؤقتاً بالغ الأهمية. يذكرنا هذا الحادث بوضوح بالفترة الحرجة بين توفر الترقيع والاستغلال الواسع النطاق، مما يعزز ضرورة وجود عمليات قوية وآلية لإدارة التصحيحات في جميع البيئات المؤسسية.
