trueNetLab logo
AR
Sophos Connect: لماذا لا ينبغي للمديرين مطاردة منشورات المدونات

Sophos Connect: لماذا لا ينبغي للمديرين مطاردة منشورات المدونات

10 min read
Network Sophos Security

جدول المحتويات

يتوفر Sophos Connect 2.5 MR1 لنظام Windows. للوهلة الأولى يبدو كإصدار صيانة صغير: بعض إصلاحات العميل، ومكوّن خارجي محدث، وتنزيل عبر الجدار الناري أو مباشرة من Sophos.

لكن هنا بالضبط تبدأ المشكلة بالنسبة لي.

Sophos Connect ليس أداة لطيفة لاتصالات VPN تجريبية بين الحين والآخر. العميل يعمل على أجهزة Windows، وينشئ اتصالات VPN للوصول عن بعد، وفي كثير من المؤسسات يكون طريقاً مباشراً إلى الشبكة الداخلية. عندما تحدّث أداة أمنية كهذه مكتبة تشفير مهمة، فلا ينبغي أن تبدو المعلومة وكأنها مخفية في منشور Community Blog.

وما يزعجني أكثر: تم إصدار OpenSSL 3.3.7 في 7 أبريل 2026. أما Sophos Connect 2.5 MR1 فقد وصل في 18 يونيو 2026. هذا يعني نحو عشرة أسابيع. بالنسبة لتطبيق سطح مكتب عادي قد يكون ذلك مجرد تحديث صيانة متأخر. أما بالنسبة لعميل VPN يحتوي على مكتبة تشفير، فهذه المدة أقل راحة بكثير.

هل يفترض فعلاً أن يقرأ المستخدم العادي مدونات Sophos ليلاحظ أن عميل VPN لديه يجب تحديثه؟ وهل يجب على كل مدير IT صغير أن يشترك في Community Feed ويأمل أن يرى مثل هذه الإصدارات في الوقت المناسب؟ بالنسبة لأداة تتعامل مباشرة مع Remote Access والشهادات والمصادقة والتشفير، فهذا غير كاف.

عميل VPN هو بنية أمنية أساسية. لذلك لا يجوز أن يوجد تحديث مهم للعميل فقط كمنشور مدونة.

ما الذي يغيره Sophos Connect 2.5 MR1

أعلنت Sophos عن Sophos Connect Client 2.5 MR1 لنظام Windows في 18 يونيو 2026. ووفقاً لـ Sophos، فهذا إصدار صيانة يصلح عدة مشكلات أبلغ عنها المجتمع.

لكن أهم تغيير تقني مذكور بوضوح:

  • تم تحديث OpenSSL إلى الإصدار 3.3.7.

هذه الجملة تبدو صغيرة. عملياً ليست كذلك. بين إصدار OpenSSL في 7 أبريل وإصدار Sophos Connect في 18 يونيو مر أكثر من شهرين. يمكن القول بعدل إن Sophos تحتاج إلى المراجعة والدمج والاختبار والتغليف. لكن هذا بالضبط سبب الحاجة إلى شفافية أفضل في عميل أمني: لا ينبغي للمديرين أن يستنتجوا من منشور مدونة أن مكوّن العميل كان ينتظر إصدار تصحيح أمني منذ أسابيع.

تذكر Sophos أيضاً عدة إصلاحات في Sophos Connect:

  • لم يكن العميل يبدأ تلقائياً لمستخدمي Windows إضافيين إذا تم تثبيته بواسطة مستخدم آخر.
  • كان مستخدمو SSO قد يرون حالة VPN خاطئة بعد انقطاع الإنترنت.
  • كان مستخدمو Credentials مع OTP يحصلون على مطالبات تحقق مختلفة عند إعادة الاتصال، حسب استخدام IPsec أو SSL VPN.
  • لم يتمكن مستخدمو SSO من إنشاء اتصال SSL VPN عبر ملف Provisioning عندما تحتوي الشهادات على أحرف خاصة.

هذه ليست تفاصيل تجميلية. إنها مشكلات Remote Access نموذجية: بدء التشغيل، عرض الحالة، SSO، OTP، Provisioning والشهادات. أي بالضبط المناطق التي يفقد فيها helpdesk والمديرون والمستخدمون الرؤية بسرعة عندما لا يعمل شيء بشكل نظيف.

ومع ذلك يبقى OpenSSL 3.3.7 هو النقطة التي تجعل هذا الإصدار مهماً بشكل خاص بالنسبة لي.

لماذا OpenSSL 3.3.7 مهم

تم نشر OpenSSL 3.3.7 في 7 أبريل 2026 كإصدار تصحيح أمني. يصنف OpenSSL نفسه أخطر ثغرة تم إصلاحها على أنها Moderate. هذا لا يبدو درامياً، لكنه ليس تحديث bugfix عادياً أيضاً.

يصلح OpenSSL 3.3.7، من بين أمور أخرى:

  • CVE-2026-31790: معالجة أخطاء غير صحيحة في RSA KEM RSASVE Encapsulation، ما قد يؤدي في ظروف معينة إلى إرسال محتوى ذاكرة غير مهيأ إلى peer خبيث.
  • CVE-2026-28387: مشكلة use-after-free محتملة في كود DANE client.
  • CVE-2026-28388: احتمال NULL pointer dereference أثناء معالجة Delta CRL.
  • CVE-2026-28389 و CVE-2026-28390: احتمالات NULL dereference أثناء معالجة بعض تراكيب CMS EnvelopedData.
  • CVE-2026-31789: Heap buffer overflow أثناء التحويل الست عشري على منصات 32-bit.

ليست كل هذه الثغرات قابلة للاستغلال تلقائياً في Sophos Connect. هذا مهم. لا ينبغي أن نستنتج من قائمة CVE في OpenSSL أن كل عميل في كل سيناريو قابل للاختراق فوراً.

لكن العكس خاطئ بالقدر نفسه: “Moderate” أو “Low” لا تعني “غير مهم”.

OpenSSL مكوّن أساسي. يدخل في TLS والتحقق من الشهادات والعمليات المشفرة وبرامج كثيرة تنشئ اتصالات آمنة. إذا كان عميل VPN يوزع هذه المكتبة معه، فإن صيانتها جزء من نموذج أمان العميل. وهذا ينطبق خصوصاً على أجهزة محمولة تعمل أثناء السفر وفي شبكات غير موثوقة وتتصل ببيئات داخلية.

لماذا يبقى SSL VPN مهماً هنا

هناك نقطة أخرى تزعجني منذ فترة في Sophos Connect: العميل يثبت OpenSSL من أجل SSL VPN، سواء كان العميل يستخدم SSL VPN فعلاً أم لا.

كثير من البيئات تعتمد اليوم أكثر على IPsec. وهناك أسباب كافية لذلك: غالباً أداء أفضل، واندماج أوضح في تصاميم VPN القائمة، وقبل كل شيء توزيع أسهل عبر software deployment أو RMM أو Intune أو أدوات Endpoint Management أخرى. في الشركات لا تريد أن يسحب المستخدمون مثبتات VPN يدوياً من portal. تريد حزمة، وإصداراً، ونافذة rollout، وجرداً نظيفاً.

إذا كان العميل يستخدم Sophos Connect فقط من أجل IPsec، فإن OpenSSL الخاص بـ SSL VPN يبقى جزءاً من العميل المثبت. هذا لا يعني تلقائياً أن كل ثغرة OpenSSL قابلة للاستغلال عملياً في تلك البيئة. لكنه يعني أن المكتبة موجودة، ويجب صيانتها، وستظهر في inventory و vulnerability scans، وستخلق عمل patch إضافياً.

لهذا السبب تهم آلية التحديث كثيراً. إذا كان المنتج يثبت مكونات لا يستخدمها كل عميل فعلياً، فعلى الشركة المصنعة مسؤولية خاصة لصيانة هذه المكونات بسرعة وبشكل مرئي. وإلا تظهر مشكلة Enterprise الكلاسيكية: ميزة موجودة تقنياً، غير مستخدمة عملياً، لكنها ما زالت تحتاج إلى تصحيح وشرح.

لماذا يكون إصدار خاص لذلك منطقياً

أرى أن إصدار Sophos لتحديث صيانة لهذا الأمر خطوة صحيحة.

عميل VPN ليس مجرد تطبيق سطح مكتب آخر. إنه جزء من التحكم في الوصول. إذا استخدم هذا العميل مكتبات تشفير قديمة، ينشأ خطر تشغيلي، حتى لو كان الاستغلال العملي يحتاج إلى تقييم حسب الحالة.

في مكونات الأمن، تهم ثلاثة أشياء:

  • صيانة المكونات: يجب تحديث مكتبات الطرف الثالث بسرعة مناسبة.
  • القابلية للتتبع: يجب أن يستطيع المديرون رؤية الإصدار المنتشر.
  • التوزيع: يجب أن يصل التصحيح إلى الأجهزة الطرفية بشكل موثوق.

النقطة الأولى تحققت هنا: Sophos تحدث OpenSSL. النقطة الثانية تحققت جزئياً على الأقل: ملاحظات الإصدار ومنشور المدونة يذكران الإصدار. أما النقطة الثالثة فهي الجزء المثير للاهتمام.

تقول Sophos إن مثبت العميل الحالي يوزع إلى جدران SFOS النارية عبر حزمة Up2Date، ثم يمكن تنزيله من WebAdmin أو VPN Portal. هذا مفيد لأن الجدار الناري يصبح مصدراً محلياً للمثبت.

لكن هذا ليس مثل عملية auto-update واضحة ومرئية على كل جهاز Windows.

إذا ثبت المستخدم العميل في وقت ما ولم يحدثه بعد ذلك أبداً، فإن توفر المثبت على الجدار الناري ليس إلا نصف الطريق. لا يزال على شخص ما أن يبدأ rollout ويراقبه وينهيه.

النقد الحقيقي: الرؤية

نقدي ليس موجهاً أساساً إلى الإصدار نفسه. الإصدار منطقي.

نقدي يتعلق بالرؤية والتوقعات.

أداة أمنية حديثة يجب، من وجهة نظري، أن توفر واحداً من هذه الخيارات على الأقل:

  • إشعار تحديث واضح داخل العميل،
  • عرضاً مركزياً في Sophos Central أو على الجدار الناري يوضح إصدارات العميل القديمة،
  • آلية auto-update رسمية وموثقة جيداً،
  • أو على الأقل تحذيراً للمدير عندما يكون إصدار عميل أمني مهماً قديماً.

ما أريده أكثر في Sophos Connect هو آلية auto-update اختيارية وقابلة للتحكم. ليست سرية، وليست خارج السيطرة، وليست ضد سياسات الشركة. بل بطريقة تسمح للمدير بأن يقرر أن تحديثات العميل الأمنية يمكن نشرها تلقائياً أو شبه تلقائياً على مجموعات محددة. الفرق الصغيرة ستملك نقاطاً عمياء أقل، والفرق الأكبر تستطيع إدخال ذلك في change process لديها.

بالطبع توجد بيئات تحل ذلك عبر GPO أو RMM أو Intune أو software deployment. المديرون الجيدون يستطيعون التعامل مع الأمر. لكن هذا لا يغير نقطة المنتج: في عملاء Remote Access، لا ينبغي أن تترك الشركة المصنعة تواصل التحديث للصدفة.

Sophos تعرف جيداً أهمية أتمتة التحديثات. في الجدران النارية توجد pattern updates و hotfixes وتنبيهات firmware ورؤية Central. وفي منتجات Endpoint نتوقع التحديث التلقائي أصلاً. فلماذا يشعر عميل VPN تحديداً بأنه يدوي إلى هذا الحد في بعض المواضع؟

هذه ليست مشكلة رفاهية. إنها بالضبط المنطقة التي تبقى فيها الفجوات الصغيرة زمناً طويلاً.

ماذا يجب على المديرين فعله الآن

بالنسبة للمديرين، النتيجة العملية واضحة نسبياً.

أولاً: تحققوا مما إذا كان Sophos Firewall لديكم قد استلم مثبت Sophos Connect الجديد. تقول Sophos إن المثبت يوزع إلى جدران SFOS النارية عبر حزم Up2Date ثم يصبح متاحاً في WebAdmin أو VPN Portal.

ثانياً: تحققوا من إصدارات Sophos Connect المثبتة على أجهزة Windows. إذا لم يكن لديكم inventory مركزي، فهذه هي نقطة الألم الحقيقية. تحتاجون على الأقل إلى نظرة عامة عبر RMM أو Intune أو GPO أو Endpoint Management أو script.

ثالثاً: لا تختبروا العميل الجديد بمستخدم قياسي فقط. اختبروا السيناريوهات الحقيقية:

  • SSL VPN مع اسم مستخدم وكلمة مرور و MFA
  • IPsec مع OTP، إذا كان مستخدماً
  • Microsoft Entra ID SSO
  • ملفات Provisioning
  • شهادات تحتوي على أحرف خاصة في الاسم أو في الحقول المهمة
  • إعادة الاتصال بعد انقطاع الإنترنت
  • عدة مستخدمي Windows على الجهاز نفسه، إذا كان ذلك موجوداً لديكم

إذا كنتم تستخدمون IPsec فقط، فلا أنصح بتجاهل التحديث. تحققوا خصوصاً مما إذا كان العميل يبدأ يومياً بشكل نظيف، وما إذا كانت الملفات الشخصية توزع كما هو متوقع، وما إذا كان inventory لديكم يكتشف الإصدار الجديد بشكل صحيح. قد لا يكون OpenSSL هو مسار VPN المستخدم فعلياً في هذه الحالة، لكنه ما زال جزءاً من العميل المثبت.

رابعاً: انشروا التحديث بطريقة مخططة. ليس كحالة ذعر، لكن ليس “في وقت ما” أيضاً. OpenSSL 3.3.7 إصدار تصحيح أمني. عميل VPN يحتوي على OpenSSL ليس شيئاً نؤجله إلى حين استبدال الحاسوب المحمول التالي.

خامساً: تواصلوا بوضوح. المستخدمون لا يحتاجون إلى معرفة معنى RSASVE أو DANE أو CMS KeyAgreeRecipientInfo. يحتاجون إلى معرفة أن عميل VPN سيحدث، وأن الاتصالات يجب اختبارها بعد ذلك، وأين يبلغون عن مشكلات SSO أو OTP أو Provisioning.

ما الذي يجب أن تحسنه Sophos

أريد ثلاثة أشياء من Sophos Connect.

أولاً: معلومات تحديث واضحة داخل العميل. إذا توفر إصدار عميل مهم أمنياً، فيجب أن يراه المستخدم أو على الأقل المدير المحلي. والأفضل مسار auto-update قابل للتحكم للبيئات التي تسمح به بوعي.

ثانياً: عرض إداري مركزي. يجب أن يظهر في Sophos Central أو على الجدار الناري أي إصدارات Sophos Connect معروفة في البيئة وأيها قديمة. وإذا لم يكن العميل مداراً مركزياً، فينبغي لـ Sophos على الأقل تقديم توصيات واضحة للجرد والطرح.

ثالثاً: تواصل أفضل حول الإصدارات. منشور Community Blog جيد كإعلان. لكن بالنسبة لمكونات عميل أمنية، فإن “اقرأ المدونة ونزل المثبت” ليس نموذج تشغيل، خصوصاً عندما تكون نسخة OpenSSL الأساسية متاحة منذ أبريل.

لا أريد التقليل من Sophos هنا. بالعكس: تحديث OpenSSL شيء إيجابي. ذكر الإصدار في ملاحظات الإصدار شيء إيجابي. توزيع المثبت عبر الجدار الناري عملي.

لكن في 2026 يجب أن يقدم مورد أمني أكثر من ذلك لعملاء Remote Access.

خلاصة رأيي

Sophos Connect 2.5 MR1 ليس إصداراً لامعاً. وهذا بالضبط ما يجعله مهماً.

إنه يوضح كيف تبدو عمليات الأمن فعلاً: ليست فقط ميزات كبيرة جديدة، بل صيانة مكونات، وإصلاحات صغيرة للعميل، وتفاصيل شهادات، وسلوك SSO، وإعادة اتصال OTP، والسؤال عما إذا كان التحديث يصل فعلاً إلى كل جهاز.

OpenSSL 3.3.7 إصدار تصحيح أمني. Sophos محقة في دمجه في Sophos Connect. والمديرون محقون في عدم تجاهل التحديث. لكن الفترة من أبريل إلى يونيو طويلة بما يكفي لطرح سؤال سرعة التحديث والرؤية.

وتبقى نقطة البنية أيضاً: Sophos Connect يثبت مكونات SSL VPN مع OpenSSL حتى عندما تستخدم البيئة IPsec أساساً أو حصراً. قد يكون ذلك منطقياً تقنياً لأن Sophos توفر عميلاً موحداً. لكنه تشغيلياً يعني مسؤولية إضافية. ما يتم تثبيته يجب أن يتم تحديثه بشكل موثوق.

لذلك يجب أن تقبل Sophos السؤال غير المريح: لماذا يحتاج المدير أصلاً إلى متابعة منشور مدونة بنشاط كي يلاحظ تحديثاً من هذا النوع لعميل VPN؟

بالنسبة لأداة أمنية تحمي الوصول إلى الشبكة الداخلية، فهذا غير كاف.

مع أطيب التحيات،
Joe

الأسئلة الشائعة

ما الجديد في Sophos Connect 2.5 MR1 لنظام Windows؟
يقوم Sophos Connect 2.5 MR1 بتحديث OpenSSL إلى الإصدار 3.3.7 ويصلح عدة مشكلات مبلّغاً عنها حول التشغيل التلقائي، وحالة SSO، وسلوك إعادة الاتصال مع OTP، و SSL VPN provisioning مع الشهادات.
لماذا OpenSSL 3.3.7 مهم؟
OpenSSL 3.3.7 إصدار تصحيح أمني من 7 أبريل 2026. يصلح عدة ثغرات، منها مشكلة Moderate في RSA KEM RSASVE Encapsulation ومشكلات أقل خطورة في معالجة DANE و CRL و CMS. ظهر Sophos Connect 2.5 MR1 في 18 يونيو 2026، أي بعد نحو عشرة أسابيع.
هل يجب على المستخدمين تحديث Sophos Connect بأنفسهم؟
يعتمد ذلك على نموذج التشغيل. توفر Sophos المثبت عبر الجدار الناري أو التنزيل المباشر. في البيئات المدارة، يجب على المديرين نشر التحديث مركزياً وعدم الاعتماد على قراءة المستخدمين للمدونات أو التصرف يدوياً.
هل OpenSSL مهم إذا كنا نستخدم IPsec فقط؟
نعم، على الأقل تشغيلياً. إذا كان Sophos Connect يثبت OpenSSL من أجل SSL VPN، فالمكتبة جزء من العميل المثبت حتى عندما تستخدم البيئة IPsec أساساً. هذا لا يعني تلقائياً قابلية استغلال عملية، لكنه يعني عملاً في التصحيح والجرد والشرح.
المصادر

مقالات ذات صلة

Sophos vs WatchGuard: مقارنة جدران الحماية 2026

Sophos vs WatchGuard: مقارنة جدران الحماية 2026

Sophos vs Cisco Meraki: مقارنة Firewall

Sophos vs Cisco Meraki: مقارنة Firewall

Sophos vs Check Point 2026: مقارنة عملية بين الجدارين الناريين

Sophos vs Check Point 2026: مقارنة عملية بين الجدارين الناريين

بحث