ثغرات خطيرة في Cloudflare وسماعات Redmi

🔥 ثغرات أمنية خطيرة اتكشفت خلال 24 ساعة
خلال آخر 24 ساعة بس، الباحثين الأمنيين كشفوا عن ثغرات أمنية مقلقة جدًا في منتجات بيستخدمها ملايين الناس يوميًا 😱
من أول خدمات حماية مواقع ضخمة زي Cloudflare، لحد أجهزة بسيطة في إيد المستخدم زي Redmi Buds.

اللي حصل ده بيأكد من جديد إن الأمن السيبراني مش رفاهية، وأي تفصيلة صغيرة ممكن تتحول لكارثة حقيقية 💣.

🚨 ثغرة خطيرة في Cloudflare تعمل Bypass كامل للـ WAF​

باحثين أمنيين اكتشفوا ثغرة خطيرة جدًا في Cloudflare، كانت ممكن تخلي أي مهاجم يعمل Bypass كامل للحماية ويوصل للسيرفر الأصلي مباشرة، كأن Cloudflare مش موجودة أصلاً 😳.

📂 المسار اللي سبب المشكلة​

الثغرة كانت مرتبطة بمسار معروف جدًا في أغلب المواقع: /.well-known/acme-challenge/
المسار ده بيستخدم طبيعي أثناء:

• التحقق من ملكية الدومين
• إصدار شهادات HTTPS / SSL

من حيث المبدأ، مفيش مشكلة في المسار نفسه ✅
لكن المفاجأة كانت إن Cloudflare مستثنياه من فحص الـ WAF.

❌ إيه اللي كان بيحصل؟​

أي Request ييجي من خلال المسار ده:

• ❌ ما يتفحصش بقواعد الـ WAF
• ❌ يتبعت مباشرة للسيرفر اللي ورا Cloudflare

وده فتح باب خطير جدًا للمهاجمين 👇

---

​

🧠 سيناريوهات الاستغلال المحتملة​

الثغرة دي كانت بتسمح بـ:

• WAF Bypass كامل
• الوصول لمسارات المفروض تكون محمية
• تسريب بيانات حساسة 🔐
• استغلال ثغرات زي:
  • LFI
  • Path Traversal
  • ثغرات Backend حسب طبيعة التطبيق

الأخطر إن الموضوع مش نظري، الباحثين جربوا الثغرة واشتغلت فعليًا على أكتر من Stack مختلف 👇

---

​

⚙️ Stacks اتأثرت فعليًا بالثغرة​

الثغرة اشتغلت على:

• Java (Spring / Tomcat)
• PHP
• Next.js

وده معناه إن عدد ضخم من التطبيقات كان ممكن يتأثر لو:

• الاعتماد كان كامل على Cloudflare
• مفيش تحقق أمني إضافي من السيرفر نفسه

⚠️ درس مهم:
WAF مش بديل للأمان داخل التطبيق نفسه

---

​

🎧 ثغرة تانية أخطر في سماعات Redmi Buds​

الجزء التاني من الموضوع كان متعلق بسماعات Redmi Buds (من موديل 3 Pro لحد 6 Pro).
الباحثين اكتشفوا ثغرة بلوتوث خطيرة 😬
أي شخص قريب منك في مدى البلوتوث يقدر:

• يبعت أوامر غريبة للسماعة
• يخليها تفصل أو تهنج
• وفي حالات نادرة:
  • يسحب شوية بيانات من الذاكرة 🧠

❗ الأخطر من كده؟​

الهجوم:

• ❌ مش محتاج Pairing
• ❌ مش محتاج موافقة منك
• ❌ بيتم وأنت مش حاسس

وده بيأكد إن أجهزة IoT والإكسسوارات الذكية بقت هدف سهل جدًا لو الأمان مش متطبق صح 🔓.

---

​

🛡️ الخلاصة والنصيحة الأهم​

اللي حصل خلال 24 ساعة بس بيقولنا حاجات مهمة جدًا:

• مفيش منتج آمن 100%
• الاعتماد على طبقة حماية واحدة خطر
• أي مسار مستثنى ممكن يبقى باب للهجوم
• أجهزة المستخدم نفسها بقت نقطة ضعف

لو بتشتغل في:

• البرمجة
• إدارة السيرفرات
• الأمن السيبراني
• اختبار الاختراق

لازم دايمًا تفكر إن: Security is a process, not a feature 🔁