جوجل تكشف اختراق ضخم يستهدف شركات العالم عبر ثغرة في أنظمة أوراكل
- جوجل كشفت عن اختراق ضخم لأنظمة أوراكل استهدف أكثر من مئة مؤسسة حول العالم.
- مجموعة CL0P الروسية استغلت ثغرة CVE-2025-61882 الخطيرة في برنامج Oracle E-Business Suite.
- الهجوم عطّل أنظمة الرواتب والإمداد وكشف بيانات مالية حساسة لعدد كبير من الشركات.
- جوجل حذّرت من انتشار أدوات استغلال الثغرة ودعت لتطبيق التحديث الأمني فورًا.
أعلنت جوجل في العاشر من أكتوبر عن هجوم إلكتروني ضخم استهدف أنظمة أوراكل المُخصصة لإدارة الأعمال، مؤكدة أن أكثر من مئة مؤسسة حول العالم تعرضت للاختراق، في واحدة من أوسع عمليات التسرب الإلكتروني التي شهدها عام 2025.
وأوضحت الشركة أن مجموعة CL0P الروسية المرتبطة بهجمات الفدية استغلت ثغرة يوم الصفر في أنظمة أوراكل لتسرق بيانات مالية شديدة الحساسية، وتطلب أموالًا وصلت إلى خمسين مليون دولار من بعض الضحايا.
استغلال ثغرة حرجة في نظام أوراكل
بدأت الحملة الهجومية منذ يوليو 2025 عندما اكتشفت مجموعة CL0P ثغرة حرجة في برنامج Oracle E-Business Suite المستخدم في آلاف الشركات لإدارة الحسابات والرواتب وسلاسل الإمداد.
وأكد محلل الأمن لدى جوجل أوستن لارسِن أن عدد الضحايا المؤكدين بلغ العشرات، لكنه رجح أن يتجاوز المئة مؤسسة حول العالم بالنظر إلى حجم الهجمات السابقة للمجموعة نفسها.
وقد تم تحديد الثغرة الأمنية تحت الرمز CVE-2025-61882، بدرجة خطورة بلغت 9.8 وفق تصنيف CVSS، ما يعني قدرتها على منح المهاجم صلاحيات كاملة لتنفيذ الأوامر عن بعد من دون الحاجة إلى بيانات اعتماد أو كلمات مرور.
وبدأت أولى عمليات الاستغلال في التاسع من أغسطس، أي قبل شهرين تقريبًا من إصدار أوراكل تحديثًا طارئًا في الرابع من أكتوبر لإغلاق الثغرة.
أسلوب الهجوم وتفاصيل الاختراق
أظهرت تحليلات فريق الأمن التابع لجوجل ومجموعة Mandiant أن مجموعة CL0P استخدمت أسلوبًا متقدمًا في تنفيذ الهجوم.
فقد تجاوزت آلية التحقق عبر خدمة SyncServlet في أوراكل، ثم رفعت ملفات خبيثة من خلال أداة XML Publisher Template Manager لتتمكن من تنفيذ أوامرها على الخوادم المصابة.
وبعد السيطرة على الأنظمة، زرعت المجموعة أبوابًا خلفية دائمة تتيح لها العودة في أي وقت، قبل أن تبدأ بتهريب كميات ضخمة من البيانات الحساسة تشمل سجلات الرواتب والعقود والمراسلات المالية.
وقد أكدت جوجل أن مستوى التحضير والتخطيط لهذا الهجوم يعكس استثمارًا كبيرًا في الوقت والموارد من طرف الجهة المهاجمة؛ إذ استغرق تطوير أدوات الاستغلال وتحليل الكود الداخلي لأوراكل شهورًا من العمل المنظم، ما جعل الاختراق يستمر لفترة طويلة دون اكتشاف.
اضطرابات واسعة في أنظمة الشركات
أدت الهجمات إلى إيقاف عدد كبير من خوادم تخطيط الموارد المؤسسية ERP بشكل مؤقت لإجراء تحقيقات جنائية رقمية، ما تسبب في تعطيل عمليات حيوية مثل معالجة الرواتب وإدارة الطلبات وإعداد التقارير المالية.
واضطرت بعض الشركات إلى تأجيل تطبيق التحديث الأمني لأن حزمة أوراكل الطارئة كانت تتطلب تثبيت تحديث أساسي أقدم من أكتوبر 2023، الأمر الذي زاد من فترة التعطيل والخسائر التشغيلية.
وأوضحت جوجل أن كميات هائلة من بيانات العملاء تسربت خلال الحملة، وهو ما قد يعرض المؤسسات المتضررة لمخاطر قانونية تتعلق بامتثالها للائحة حماية البيانات الأوروبية GDPR وقانون خصوصية المستهلك الأمريكي CCPA.
وقد أشار خبراء الأمن إلى أن العواقب لا تتوقف عند الفدية المالية، بل تمتد لتشمل سمعة الشركات وثقة عملائها لسنوات مقبلة.
انتشار سريع للأدوات الاستغلالية
بعد إعلان جوجل عن تفاصيل الثغرة، بدأت شيفرات الاستغلال تنتشر بسرعة في المنتديات المتخصصة وعلى الإنترنت المظلم، ما دفع الوكالات الأمنية إلى إطلاق تحذيرات عاجلة.
وأدرجت وكالة الأمن السيبراني الأمريكية CISA الثغرة ضمن قائمة الثغرات المعروفة المُستغلة فعليًا، داعية جميع المؤسسات التي تستخدم Oracle E-Business Suite إلى تطبيق التحديث الطارئ فورًا دون تأجيل.
أما شركة أوراكل فقد نشرت بيانًا أكدت فيه تعاونها الكامل مع الجهات الأمنية وشركات الحماية، ودعت عملاءها إلى مراجعة أنظمة الحماية الخاصة بهم وتفعيل مراقبة الأنشطة المشبوهة في خوادمهم لضمان عدم وجود بقايا للهجوم.
كما شددت على أن التحديث الأخير يسد الثغرة بشكل كامل، لكنه لن يمنع المهاجمين من استغلال الأنظمة التي لم يتم تحديثها بعد.
دروس من الهجوم
أعاد هذا الاختراق تسليط الضوء على هشاشة الأنظمة المؤسسية التي تعتمد على برمجيات معقدة دون تحديث منتظم، وأبرز أهمية المراقبة الاستباقية وتقييم الثغرات قبل أن تتحول إلى كوارث.
كما أثبتت حملة CL0P أن المجموعات السيبرانية المرتبطة بدول كبرى باتت تمتلك قدرات تعادل قدرات الجيوش الرقمية، وأن استهدافها لم يعد يقتصر على سرقة الأموال وإنما يمتد إلى تعطيل البنى التحتية الحيوية للشركات.
يُعد ما حدث مع أوراكل تذكيرًا مؤلمًا بمدى اعتماد الاقتصاد العالمي على الأنظمة الرقمية، وأن حماية البيانات قد أصبحت مسؤولية استراتيجية تتعلق ببقاء المؤسسات واستقرار الأسواق.
