ما معني ثغره Vulnerability

ثغرة تقنية (أمن سيبراني) أم ثغرة في الدين/المنطق/القانون؟

سأفترض أنك تقصد ثغرة أمنية في البرمجيات، وإذا كان غير ذلك أخبرني.

ما نوع الثغرة؟

الثغرة (Vulnerability) هي خلل في نظام أو برنامج يمكن استغلاله. أشهر الأنواع:

SQL Injection – حقن أوامر في قاعدة البيانات.

Cross-Site Scripting (XSS) – إدخال سكربت خبيث في موقع ويب.

Buffer Overflow – تجاوز سعة الذاكرة.

Remote Code Execution (RCE) – تنفيذ أوامر عن بُعد.

Zero-Day – ثغرة غير معروفة سابقًا ولم يصدر لها تصحيح بعد.

من الذي يسمي الثغرة؟

تسمية الثغرات عادة تكون عبر:

الجهة أو الباحث الذي اكتشفها.

الشركات الأمنية.

منظمات توثيق الثغرات مثل:

MITRE Corporation (تعطي رقم CVE)

Common Vulnerabilities and Exposures (نظام ترقيم الثغرات مثل CVE-2024-1234)

وأحيانًا تأخذ اسمًا مشهورًا إعلاميًا مثل:

Heartbleed (سُميت من قِبل شركة الأمن Codenomicon)

Log4Shell (ثغرة في Apache Log4j)

Vulnerability

ولو تقصد ثغرة أمنية تقنية تحديدًا، فيمكن قول:

Security Vulnerability

أمثلة في جملة:

This system has a serious vulnerability.

The website contains a security vulnerability.

أشهر الثغرات الأمنية في التاريخ التقني:

Heartbleed

ثغرة في مكتبة التشفير OpenSSL عام 2014، كانت تسمح بسرقة البيانات الحساسة من الخوادم.

Log4Shell

ثغرة خطيرة في Apache Log4j عام 2021، سمحت بتنفيذ أوامر عن بُعد (RCE).

WannaCry

هجوم فدية استغل ثغرة في نظام Microsoft Windows عام 2017 وأصاب مئات الآلاف من الأجهزة حول العالم.

Shellshock

ثغرة في Bash (مفسر أوامر لينكس) عام 2014، سمحت بتنفيذ أوامر عن بُعد.

EternalBlue

أداة استغلال طورتها National Security Agency واستُخدمت لاحقًا في هجمات كبرى مثل WannaCry.

1️⃣ Heartbleed

الثغرة كانت في OpenSSL

طريقة الاستغلال:

المهاجم يرسل طلب “Heartbeat” مزيف للخادم، فيردّ الخادم بجزء من ذاكرته يحتوي أحيانًا على كلمات مرور أو مفاتيح تشفير.

2️⃣ Log4Shell

في مكتبة Apache Log4j

طريقة الاستغلال:

المهاجم يضع كود خبيث داخل حقل إدخال (مثل اسم المستخدم).

المكتبة تسجّل النص وتنفّذ الكود تلقائيًا → مما يسمح بتنفيذ أوامر عن بُعد (RCE).

3️⃣ WannaCry

استغل ثغرة في Microsoft Windows

طريقة الاستغلال:

استُخدمت أداة استغلال تُسمى EternalBlue لاختراق الأجهزة عبر الشبكة، ثم يُثبَّت برنامج فدية يقوم بتشفير الملفات والمطالبة بدفع المال.

4️⃣ Meltdown

في معالجات Intel

طريقة الاستغلال:

استغلال خلل في تنفيذ الأوامر داخل المعالج لقراءة بيانات من الذاكرة لا يُفترض أن تكون متاحة للتطبيق.

5️⃣ Dirty COW

في نواة Linux

طريقة الاستغلال:

استغلال خطأ في إدارة الذاكرة يسمح للمستخدم العادي بتعديل ملفات نظام محمية والحصول على صلاحيات أعلى (root).