مقدمة
مؤخراً، أبلغت Fluid Attacks عن ثغرة تصعيد الامتيازات المحلية (CVE-2026-2638) من خلال الإفصاح المسؤول، والتي تؤثر على إصدارات موقع X-VPN لنظام macOS من 77.0 إلى 77.5. لقد أخذنا التقرير على محمل الجد، وأعدنا إنتاج المشكلة داخلياً، وأصدرنا الإصلاح في إصدار موقع X-VPN لنظام macOS 77.5.1. أكدت مراجعتنا الداخلية أن المشكلة لم تكن في نفق VPN الخاص بـ X-VPN، أو بروتوكول التشفير، أو نظام الحسابات، أو بنية الخادم، وأنه لم تتأثر أي منصات أو إصدارات أخرى من X-VPN خارج نطاق موقع macOS المتأثر. لم يتم ملاحظة أي استغلال في البرية. يجب على مستخدمي الإصدارات المتأثرة التحديث في أقرب وقت ممكن.
في روح الشفافية والمساءلة، سنشارك تفاصيل الثغرة، ونطاقها، والإجراءات التي اتخذناها.
Table of Contents
نتائجنا الرئيسية
CVE-2026-2638 هي ثغرة تصعيد الامتيازات المحلية تؤثر على موقع X-VPN لنظام macOS (الإصدار المستقل من macOS الذي تم تنزيله من xvpn.io) الإصدارات 77.0-77.5. تعني مشكلة تصعيد الامتيازات المحلية أنه، في ظل ظروف محلية محددة، يمكن لمستخدم أو عملية ذات أذونات محدودة على نفس الجهاز الحصول على وصول بمستوى المسؤول. لقد قامت X-VPN بإصلاح هذه المشكلة في إصدار موقع X-VPN لنظام macOS 77.5.1 وما بعده.
نشأت الثغرة في ميزة حماية التنزيل في إصدار موقع X-VPN لنظام macOS (الموجودة تحت الأمان → حماية المتصفح → حماية التنزيل)، والتي تقوم بفحص الملفات التي تم تنزيلها، وتضع تلك التي تبدو غير آمنة في الحجر الصحي، وتستعيدها عند الطلب. نظرًا لأن وضع الملفات في الحجر الصحي واستعادتها يتطلب الكتابة إلى مواقع محمية بواسطة أذونات نظام macOS، فإن أجزاء من هذه الميزة تعمل بأذونات على مستوى المسؤول.
CVE-2026-2638 كانت عيبًا في كيفية تحقق هذا الجزء الإداري من الميزة من هوية الملف عبر مراحل الفحص، والحجر، والاستعادة، مما قد يسمح لبرنامج محلي خبيث بإعادة توجيه عملية مميزة إلى ملف آخر غير الملف المقصود. تم تقديم شرح مفصل في ما هو CVE-2026-2638.
لم يكن هذا هجومًا عن بُعد على الشبكة ولم يؤثر على نفق VPN الخاص بـ X-VPN أو بروتوكول التشفير أو نظام الحسابات أو بنية الخادم. لم تتأثر نسخة متجر تطبيقات Mac من X-VPN و X-VPN لنظام Windows و iOS و Android و Linux و Router و TV و Chrome Extension و Chromebook و Game Consoles.
يجب على المستخدمين الذين يستخدمون إصدارات موقع X-VPN لنظام macOS من 77.0 إلى 77.5 التحديث إلى الإصدار 77.5.1 أو أحدث الآن.
تُلخص الحقائق الرئيسية أدناه:
عنصر | بيان رسمي |
|---|---|
CVE ID | CVE-2026-2638 |
حالة | ثابت |
الإصدارات المتأثرة | X-VPN إصدار موقع macOS 77.0–77.5 |
نسخة ثابتة | X-VPN إصدار موقع macOS 77.5.1 وما بعده |
نسخة غير متأثرة | إصدار X-VPN من متجر تطبيقات Mac / Windows / iOS / Android / Linux / جهاز التوجيه / التلفاز / ملحق Chrome / Chromebook / وحدات التحكم في الألعاب |
نوع الثغرة | تصعيد الامتياز المحلي |
شدة | CVSS v4.0 درجة 7.3، عالية |
حالة الاستغلال | استنادًا إلى البيانات المتاحة حاليًا، نحن غير مدركين لأي استغلال لهذا المشكلة في البرية؛ لم يتم تلقي أي تقارير مستخدم ذات صلة. |
إجراء المستخدم | تحديث إصدار موقع X-VPN لنظام macOS إلى الإصدار 77.5.1 وما بعده |
ما هو CVE-2026-2638؟
لشرح كيفية استغلال CVE-2026-2638، من المفيد أولاً النظر في كيفية عمل حماية التنزيل بشكل طبيعي.
تتبع ميزة حماية التنزيل في إصدار X-VPN macOS على ثلاث مراحل: تقوم بفحص ملفات التنزيل الجديدة، وتضع الملفات التي تبدو مشبوهة في الحجر الصحي، وتستعيدها عند طلب إجراء استعادة. لتحديد الملف الذي تعمل عليه في كل مرحلة، تتبع الميزة الملف من خلال موقعه على جهاز Mac: مسار الملف الخاص به. نشأت الثغرة من هذا: كانت الميزة تثق بمسار الملف فقط ليظل يشير إلى نفس الملف عبر جميع المراحل الثلاث، دون إعادة التحقق بشكل مستقل من محتوى الملف الفعلي.
في الاستخدام العادي، هذا افتراض عادل، حيث أن مسارات الملفات عادة لا تتغير بين العمليات. ولكن تحت شرطين محددين، يمكن استغلال هذا الافتراض:
1
2
تثير الشرط الأول سؤالًا طبيعيًا: من أين ستأتي مثل هذا البرنامج الضار في المقام الأول؟ يستحق هذا الأمر معالجة سريعة، لأن الإجابة توضح أيضًا ما هو CVE-2026-2638 وما ليس مسؤولاً عنه.
من أين يأتي البرنامج الضار
يمكن أن ينتهي برنامج ضار على جهاز ما من خلال أي من الوسائل المعتادة، على سبيل المثال، فتح بريد إلكتروني احتيالي، أو تنزيل وتشغيل برنامج من مصدر غير موثوق، أو تثبيت تطبيق تابع لجهة خارجية تم اختراقه. هذه المسارات الأولية للإصابة مستقلة عن CVE-2026-2638 نفسها.
على نظام macOS، تعمل البرامج عادةً بصلاحيات المستخدم الذي أطلقها. وبالتالي، فإن البرنامج الضار المثبت من خلال هذه القنوات سيبدأ فقط بصلاحيات المستخدم العادية، ولن يتمكن من تعديل المواقع المحمية في النظام أو اتخاذ إجراءات بمستوى المسؤول بمفرده. يتطلب الحصول على وصول بمستوى المسؤول عادةً من المستخدم أن يصرح بذلك بشكل صريح (مثل من خلال مطالبة بكلمة المرور). لهذا السبب، تعتبر ثغرات تصعيد الامتيازات المحلية مهمة: لأنها تقدم للمهاجمين وسيلة لتجاوز هذه العقبة.
الثغرتان اللتان جعلتا الهجوم ممكنًا
الفجوة 1: فجوة التوقيت (CWE-367: حالة سباق وقت التحقق ووقت الاستخدام)
- تتحقق حماية التنزيل من ملف في مرحلة واحدة وتتصرف عليه في مرحلة لاحقة. هناك لحظة قصيرة بين هذين الحدثين. في تلك اللحظة، يمكن لبرنامج ضار، باستخدام فقط أذونات تحرير الملفات التي يمتلكها كل مستخدم بالفعل، أن يستبدل الملف الأصلي بملف مختلف. ستقوم حماية التنزيل بعد ذلك بتنفيذ خطوتها المميزة على الملف المستبدل، وليس على الملف الذي تم التحقق منه.
الفجوة 2: فجوة الرابط الرمزي (CWE-59: حل الرابط بشكل غير صحيح قبل الوصول إلى الملف)
- يتيح macOS للمستخدمين إنشاء ما هو في الأساس اختصار لملف آخر، وهو “رابط رمزي”. يبدو ويتصرف مثل ملف عادي، ولكن عندما يفتحه أي برنامج، يقوم النظام تلقائيًا بإعادة التوجيه إلى ما يشير إليه الاختصار.
كانت الثغرة هي أن حماية التنزيل لم تتحقق مما إذا كان الملف الذي كانت على وشك التعامل معه هو في الواقع اختصار لمكان آخر. يمكن لبرنامج خبيث أن يزرع مثل هذا الاختصار حيث كانت حماية التنزيل على وشك العمل، ويجعله يشير إلى ملف مهم في مكان آخر على النظام. ستقوم حماية التنزيل، التي تعمل بصلاحيات مستوى المسؤول، بعد ذلك بأداء عمليتها على ذلك الملف بدلاً من ذلك، على الرغم من أن ذلك الملف لم يكن من المفترض أن يتم لمسه.
لماذا أدى هذا إلى تصعيد الامتيازات
في كلتا الحالتين، لم يحصل البرنامج الضار نفسه على أذونات جديدة بشكل مباشر. ما فعله هو إعادة توجيه عملية مشروعة ذات امتيازات، تم تنفيذها بواسطة حماية التنزيل، إلى ملف لم يكن للبرنامج الضار القدرة على تعديله. من خلال خداع حماية التنزيل للكتابة إلى موقع محمي من النظام نيابة عنه، كان بإمكان البرنامج الضار أن يتسبب بشكل غير مباشر في تغييرات يُسمح عادةً فقط للعمليات ذات مستوى المسؤول بإجرائها.
هذا ما جعل CVE-2026-2638 تصعيدًا محليًا للامتيازات: ليس من خلال سرقة الوصول على مستوى المسؤول، ولكن من خلال خداع عملية مشروعة على مستوى المسؤول للقيام بشيء لم يكن من المفترض أن تفعله أبدًا.
في الممارسة العملية، يعني هذا أن البرنامج الضار يمكن أن يجري تغييرات على سلوك النظام على مستوى الجهاز الذي يتطلب عادةً تفويض المسؤول.
ما هو CVE-2026-2638 ليس
- ليس خرقًا لخوادم X-VPN
- ليس هناك ثغرة في نفق VPN أو بروتوكول التشفير أو نظام الحسابات أو بنية الخادم.
- ليس هجومًا عن بُعد، بل يتطلب وصولًا محليًا منخفض الامتياز إلى الجهاز
- غير قابل للتطبيق على منصات أخرى أو على إصدار متجر التطبيقات
كيف أصلحنا ذلك
يعمل إصدار X-VPN macOS على تعزيز سير عمل استعادة حماية ملفات التنزيل 77.5.1. تشمل التحسينات الرئيسية:
1. فحوصات اتساق هوية الملف
عندما يتم فحص ملف تم تنزيله بواسطة طبقة الحماية، يتم الآن تسجيل بصمة محتوى الملف. إذا كان من الضروري لاحقًا وضع الملف في الحجر الصحي، فإن X-VPN يعيد التحقق مما إذا كان محتوى الملف الحالي لا يزال يتطابق مع ما تم فحصه.
إذا تم استبدال الملف أو تعديله أو تغييره بأي شكل بعد الفحص، يتم رفض عملية الحجر الصحي.
2. التحقق من سلامة الحجر الصحي
بعد دخول ملف إلى الحجر الصحي، يتم تسجيل معلومات السلامة حول حالته في الحجر الصحي. قبل أن يقوم المستخدم باستعادة الملف، يقوم X-VPN بإعادة التحقق من أن الملف الموجود في الحجر الصحي لا يزال في حالته المسجلة في الحجر الصحي.
إذا تم استبدال الملف المعزول أو تعديله، يتم حظر عملية الاستعادة.
3. الروابط الرمزية غير مقبولة في العمليات الحرجة
تدفق حماية التنزيل الآن يرفض مسح أو استعادة ملفات الروابط الرمزية. هذا يمنع المهاجمين من إعادة توجيه عمليات الحجر الصحي أو الاستعادة إلى ملفات غير مقصودة من خلال التلاعب بالمسار.
بشكل عام، لم يعد هذا الإصلاح يعتمد فقط على مسارات الملفات لتحديد الملف الذي يتم العمل عليه. بدلاً من ذلك، يستخدم X-VPN الآن فحوصات سلامة المحتوى متعددة المراحل للتحقق من أن الملفات لم يتم استبدالها أو تعديلها خلال مراحل الفحص، والحجر، والاستعادة. كما أنه يمنع إعادة توجيه الروابط الرمزية التي قد تتسبب في تطبيق عمليات الاستعادة المميزة على مواقع ملفات غير مقصودة.
فهم الشدة
تم تصنيف CVE-2026-2638 بدرجة أساسية من CVSS v4.0 تبلغ 7.3 (عالية)، مع سلسلة المتجه:
CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
نظام تقييم الثغرات الشائعة (CVSS) هو الإطار القياسي المعتمد في الصناعة لتقييم شدة الثغرات الأمنية. وفقًا لـ FIRST، المنظمة التي تحافظ على معيار CVSS، يقيس CVSS مدى خطورة الثغرة إذا تم استغلالها بنجاح، وليس مدى احتمال حدوث هذا الاستغلال في الممارسة العملية. وبالتالي، فإن تصنيف “عالي” يعكس مقدار الضرر الذي يمكن أن تسببه الثغرة في حالة الاستغلال الناجح، وليس توقعًا لمدى احتمال استغلالها ضد المستخدمين الحقيقيين.
تقوم سلسلة المتجهات أعلاه بتفصيل النتيجة إلى أبعاد متعددة، مثل المكان الذي يجب أن ينشأ منه الهجوم، وما هي الشروط التي يجب تلبيتها لاستغلاله، ومدى خطورة تأثير الهجوم الناجح على النظام.
في الممارسة العملية، تفسر خاصيتان من المتجه لماذا استغلال CVE-2026-2638 بعيد كل البعد عن كونه بسيطًا:
- AV:L (Vector الهجوم: محلي). يتطلب الاستغلال الوصول المحلي إلى الجهاز. لا يمكن تفعيل الثغرة عن بُعد عبر الإنترنت.
- AT:P (متطلبات الهجوم: الحاضر). يجب تلبية شروط محددة لنجاح الهجوم، بما في ذلك القدرة على التفاعل مع سير عمل استعادة ملف حماية التنزيل المتأثر والتلاعب في معالجة الملفات ضمن نافذة زمنية ضيقة.
لذلك، يجب أخذ CVE-2026-2638 على محمل الجد، ويجب على مستخدمي إصدارات موقع macOS المتأثرة التحديث إلى إصدار X-VPN macOS 77.5.1 أو أحدث. ومع ذلك، نظرًا لأن الاستغلال يتطلب الوصول المحلي وظروفًا محددة، فإنه لا يعرض مستخدمي X-VPN لخطر بعيد المدى على الفور.
نطاق التأثير
الجدول أدناه يلخص أي إصدارات X-VPN متأثرة بـ CVE-2026-2638:
المنصات والإصدار | متأثر؟ |
|---|---|
موقع X-VPN لنظام macOS الإصدارات 77.0 إلى 77.5 (الإصدار المستقل لنظام macOS الذي تم تنزيله من xvpn.io) | ⚠️ متأثر – يرجى التحديث على الفور |
موقع X-VPN لنظام macOS، الإصدار 77.5.1 وما بعده | ✅ غير متأثر (يحتوي على الإصلاح) |
X-VPN ماك نسخة متجر التطبيقات | ✅ غير متأثر |
X-VPN لنظام التشغيل Windows / Linux / iOS / Android / TV / Router / Chromebook / أجهزة الألعاب / ملحق Chrome | ✅ غير متأثر |
توصيات للمستخدمين
قم بالتحديث إلى أحدث إصدار على الفور
للتحقق من إصدارك الحالي:
- افتح تطبيق X-VPN على جهاز MacBook الخاص بك.
- انقر على الإعدادات في الزاوية السفلى اليسرى.
- انقر على حول X-VPN.
- الإصدار الحالي الخاص بك معروض تحت “X-VPN for Mac”.
إذا كانت نسختك بين 77.0 و 77.5، قم بالتحديث عن طريق تنزيل أحدث إصدار من صفحة تنزيل Mac.
الخطوات التالية & الاتصال
تظل X-VPN ملتزمة بأمان المستخدمين بما يتجاوز هذه المشكلة المحددة. كجزء من ممارساتنا الأمنية المستمرة.
- عمليات تدقيق الكود المستمرة وفحوصات الثغرات: نقوم بمراجعة قاعدة الشيفرة الخاصة بنا بانتظام وإجراء فحوصات أمنية لتحديد ومعالجة المشكلات المحتملة قبل أن تصل إلى المستخدمين.
- برنامج مكافأة الأخطاء: نرحب بالباحثين في مجال الأمن لتقديم تقارير عن الثغرات بشكل مسؤول من خلال برنامج مكافأة الأخطاء. النتائج الصحيحة والقابلة للتكرار مؤهلة للحصول على مكافآت مالية، مما يساعدنا على تعزيز أمان كل عميل من عملاء X-VPN.
- قناة الإبلاغ المباشرة: إذا اكتشفت مشكلة أمنية أو اشتبهت في سلوك غير عادي في X-VPN، يرجى إرسال بريد إلكتروني إلى security@xvpn.io. يتم مراجعة جميع التقارير من قبل فريق الأمان لدينا.
نشكر Fluid Attacks على الكشف المسؤول عن CVE-2026-2638 وعلى تعاونهم معنا خلال عملية الكشف المنسقة.
الأسئلة الشائعة
هل تم إصلاح هذه الثغرة؟
نعم. تم حل الثغرة الأمنية بالكامل في X-VPN لإصدار موقع macOS 77.5.1. يجب على المستخدمين الذين يستخدمون الإصدارات 77.0–77.5 التحديث على الفور.
هل أنا في خطر إذا كنت أستخدم X-VPN؟
فقط مستخدمي macOS على الإصدارات التي تم تنزيلها مباشرة من 77.0 إلى 77.5 هم المتأثرون. إذا كنت على الإصدار 77.5.1 أو أحدث، على إصدار متجر التطبيقات، أو على أي منصة أخرى (Windows، iOS، Android، Linux، إلخ)، فأنت غير متأثر.
هل حماية التنزيل مفعلة بشكل افتراضي على إصدار موقع X-VPN لنظام macOS؟
لا. حماية التنزيل معطلة بشكل افتراضي في إصدار موقع X-VPN لنظام macOS ويجب تمكينها يدويًا.
نظرًا لأن سير العمل المعرض للخطر يعمل فقط عندما تكون حماية التنزيل نشطة، فإن المستخدمين الذين قاموا بتمكين هذه الميزة بشكل صريح في إصدار موقع macOS المتأثر (77.0 إلى 77.5) فقط هم الذين تعرضوا لـ CVE-2026-2638. لم يتعرض المستخدمون الذين لم يقوموا أبدًا بتمكين حماية التنزيل لمسار الشيفرة المعرض للخطر.
هل يؤثر هذا على تشفير VPN الخاص بي أو بياناتي؟
لا. الثغرة هي مشكلة تصعيد الامتيازات المحلية على جهاز المستخدم الخاص. إنها ليست في نفق VPN الخاص بـ X-VPN، أو بروتوكول التشفير، أو نظام الحسابات، أو بنية الخادم.
هل تعرض أي شخص فعلاً لهجوم باستخدام هذه الثغرة؟
لم نلاحظ أي تقارير عن استغلال هذه الثغرة في البرية. تم اكتشافها والإبلاغ عنها من قبل Fluid Attacks من خلال عملية إفصاح مسؤولة، مما أتاح لنا إصلاحها قبل أي استغلال معروف.
هل يمكن أن يحدث الهجوم عن بُعد عبر الإنترنت؟
لا. استغلال هذه الثغرة يتطلب من المهاجم أن يكون لديه بالفعل وصول محلي منخفض الامتيازات إلى جهاز MacBook الخاص بالمستخدم. لا يمكن تفعيلها عن بُعد عبر الشبكة أو من خلال موقع ويب خبيث.
أين يمكنني الإبلاغ عن مشكلات الأمان إلى X-VPN؟
يرجى إرسال بريد إلكتروني إلى security@xvpn.io أو التقديم من خلال برنامج مكافأة الأخطاء. نحن نرحب ونكافئ الإفصاحات الأمنية المسؤولة.
