كتالوج KEV من CISA: 1,484 ثغرة مُستغلة والعدد في تصاعد

الكتالوج الذي أعاد تعريف أولويات الثغرات

عندما أطلقت CISA كتالوج الثغرات المُستغلة المعروفة (KEV) في نوفمبر 2021 بـ311 مُدخلة أولية، قدمت فرضية جذرية: التوقف عن ترتيب أولويات الثغرات وفق درجات الخطورة النظرية والبدء بترتيبها وفق الاستغلال المؤكد في الواقع. بعد أربع سنوات، نما الكتالوج إلى 1,484 مُدخلة حتى ديسمبر 2025 ويستمر في التوسع، مع إضافة سبع مُدخلات جديدة في 13 أبريل 2026.

مسار النمو يتحدث بذاته. بعد موجة أولية من 555 إضافة في 2022 بينما كانت CISA تسد الفجوة المتراكمة، استقر الكتالوج عند حوالي 187 مُدخلة سنوياً في 2023 و2024. ثم شهد عام 2025 تسارعاً متجدداً، مع إضافة 245 ثغرة جديدة، بزيادة 20% وأكثر من 30% فوق اتجاه العامين السابقين. يعكس هذا التسارع ليس فقط نشاط استغلال متزايد، بل أيضاً آليات كشف وإبلاغ محسّنة.

التفويض الفيدرالي للتصحيح

حوّلت التوجيهية التشغيلية الملزمة 22-01 كتالوج KEV من مرجع معلوماتي إلى التزام قانوني على الوكالات الفيدرالية. بموجب BOD 22-01، يتعين على وكالات Federal Civilian Executive Branch (FCEB) معالجة الثغرات التي تحمل معرفات CVE من 2021 أو أحدث خلال أسبوعين من إضافتها إلى الكتالوج. الثغرات الأقدم من قبل 2021 تتطلب معالجة خلال ستة أشهر.

يُنشئ التوجيه إيقاعاً مستمراً من إلحاح التصحيح. يجب على الوكالات إتمام المسح الأولي خلال 48 ساعة من إضافة KEV جديدة وتطوير خطط المعالجة خلال 72 ساعة. يضغط هذا الجدول الزمني دورة إدارة الثغرات التقليدية من أشهر إلى أيام، مما يُلزم الوكالات بالحفاظ على جاهزية دائمة للتصحيحات الطارئة.

ينطبق التفويض فقط على الوكالات المدنية الفيدرالية، وليس على القطاع الخاص. لكن تأثير الكتالوج يمتد إلى ما هو أبعد من الحكومة.

القطاع الخاص يحذو حذوه

قد يكون التأثير الأكثر أهمية لكتالوج KEV هو تبنيه من قبل مؤسسات لا تملك أي التزام قانوني بمتابعته. تتعامل فرق الأمن في القطاع الخاص بشكل متزايد مع الثغرات المُدرجة في KEV كأولوية قصوى، مستخدمة الكتالوج كمرشح قراري يخترق ضوضاء أكثر من 130 ثغرة CVE جديدة يومياً.

النتائج قابلة للقياس. المؤسسات التي تتبنى ترتيب الأولويات المبني على KEV تُعالج الثغرات المُدرجة أسرع بـ3.5 مرة من الثغرات غير المُدرجة في KEV. يعمل الكتالوج كإشارة مُنقاة في بحر من ضوضاء الثغرات، مُجيباً على السؤال الأهم للمدافعين: «هل يستغل أحد هذه الثغرة فعلاً الآن؟»

شجعت CISA صراحة هذا التبني، مصرحة بأنه رغم أن BOD 22-01 تنطبق فقط على وكالات FCEB، فإنها تحث بشدة جميع المؤسسات على إعطاء الأولوية لمعالجة كتالوج KEV كجزء من ممارسات إدارة الثغرات لديها. أدمج العديد من مزودي الحلول الأمنية حالة KEV في منتجاتهم، مع تمييز وتصعيد تلقائي للثغرات المُدرجة.

الأرقام التي يجب أن تُقلق كل مسؤول أمن معلومات

على الرغم من فعالية الكتالوج كأداة لترتيب الأولويات، تظل واقعية المعالجة عبر معظم المؤسسات مُقلقة. وفقاً لتقرير الثغرات 2026، فإن 53% من المؤسسات لديها ثغرة واحدة على الأقل مكشوفة على الإنترنت، و22% لديها أكثر من 1,000 ثغرة غير مُصححة ومكشوفة على الإنترنت.

المدة المتوسطة لإغلاق نصف الثغرات المكشوفة على الإنترنت هي حوالي 361 يوماً. الأرقام القطاعية أسوأ: المرافق العامة بمتوسط 270 يوماً، والرعاية الصحية 519 يوماً، والتعليم 577 يوماً. ومع ذلك، يحدث الاستغلال غالباً خلال صفر إلى خمسة أيام من الكشف.

تهديد الـ zero-day يتسارع. زاد استغلال ثغرات zero-day بنسبة 46% في النصف الأول من 2025، و32.1% من الثغرات المُستغلة حديثاً أظهرت استغلالاً في يوم الكشف العلني أو قبله. يُسلّح المهاجمون الثغرات أسرع مما يستطيع المدافعون تصحيحها، مما يخلق عيباً هيكلياً لا يمكن لأي سرعة تصحيح التغلب عليه بالكامل.

مجموعات برامج الفدية كمحرك لكتالوج KEV

التقاطع بين الثغرات المُدرجة في KEV وبرامج الفدية كبير. من بين 1,484 مُدخلة في الكتالوج، استُغلت 304 ثغرة (20.5%) من قبل مجموعات برامج الفدية. وقد أشارت CISA تحديداً إلى 24 من الثغرات الـ245 المُضافة في 2025 على أنها ذات استغلال مؤكد من قبل برامج الفدية.

هذا الارتباط بين كتالوج KEV وحملات برامج الفدية يُعزز قيمة الكتالوج كأداة دفاعية. عندما تظهر ثغرة في قائمة KEV، فهي ليست خطراً نظرياً. إنها سلاح مؤكد قيد الاستخدام الفعلي، غالباً من قبل منظمات إجرامية ذات دوافع مالية تملك الموارد والحافز لاستغلالها على نطاق واسع.

بالنسبة للمؤسسات التي تُقيّم استراتيجية ترتيب أولويات التصحيح لديها، يُقدم كتالوج KEV إجابة واضحة: إذا قالت CISA إنها مُستغلة، عاملها كحادثة جارية وليس كثغرة تُجدول لنافذة الصيانة التالية.

ما لا يستطيع الكتالوج إصلاحه

يتفوق كتالوج KEV في الإجابة على سؤال «ماذا نُصحح أولاً»، لكنه لا يستطيع حل التحديات الهيكلية لإدارة الثغرات. تفتقر العديد من المؤسسات إلى الكوادر والأدوات وعمليات إدارة التغيير اللازمة لتصحيح الأنظمة الحرجة في غضون أسبوعين، ناهيك عن 48 ساعة. الأنظمة القديمة التي تعمل ببرمجيات منتهية الدعم لا يمكن تصحيحها أصلاً.

كما يُعالج الكتالوج فقط الثغرات المعروفة والمُفصح عنها. زيادة 46% في استغلال zero-day تعني أن حصة متنامية من الهجمات تستغل ثغرات ليس لها CVE ولا تصحيح ولا إدراج في KEV عند بدء الهجوم. الكتالوج مكون ضروري في إدارة الثغرات الحديثة، لكنه ليس كافياً بمفرده.

ما أنجزه كتالوج KEV أكثر جوهرية: لقد نقل الحوار من «ما مدى خطورة هذا نظرياً» إلى «هل يتم استغلال هذا الآن». هذا التأطير الجديد، على بساطته، جعل إدارة الثغرات أكثر عقلانية وإلحاحاً وفعالية لكل مؤسسة مستعدة للإصغاء.

المصادر والقراءات الإضافية

• Known Exploited Vulnerabilities Catalog — CISA
• CISA KEV Catalog Expanded 20% in 2025, Topping 1,480 Entries — SecurityWeek
• CISA Expands KEV Catalog with 1,484 New Vulnerabilities — CyberSecurityNews
• 2025 CISA KEV Catalog Hits 1,484 Exploited Vulnerabilities — Cyble
• 2026 Vulnerability Report: 5 Critical Exploitation Trends — Cyber Strategy Institute
• CISA Adds Seven Known Exploited Vulnerabilities — CISA (April 2026)