CVE-2026-34197 في Apache ActiveMQ: استغلال نشط يهدد بنوك SAMA

أضافت وكالة CISA الأمريكية ثغرة CVE-2026-34197 في Apache ActiveMQ إلى قائمة الثغرات المُستغلَّة فعلياً (KEV)، بعد رصد حملات نشطة تستهدف واجهة Jolokia المكشوفة. الثغرة، التي تحمل تصنيف CVSS 8.8، تتيح تنفيذ شيفرة عن بُعد في وسيط رسائل تعتمد عليه آلاف البنوك ومزودي الخدمات المالية حول العالم — ومنها مؤسسات سعودية تشغّل وسطاء ActiveMQ لربط أنظمة الدفع وقنوات Open Banking والـ ESB الداخلي.

تفاصيل ثغرة Apache ActiveMQ CVE-2026-34197

الثغرة عبارة عن خلل في التحقق من المدخلات داخل الـ Jolokia API، الواجهة الإدارية القائمة على JMX التي يستخدمها مشغّلو ActiveMQ للمراقبة والإدارة. يستطيع المهاجم استدعاء عملية إدارية عبر Jolokia لإجبار الوسيط على جلب ملف إعدادات XML من خادم خارجي يتحكم به، ثم تنفيذ أوامر نظام تشغيل عشوائية بصلاحيات عملية ActiveMQ. النتيجة: سيطرة كاملة على الخادم خلال طلب HTTP واحد. اكتشف الباحث Naveen Sunkavally من Horizon3.ai الثغرة بمساعدة الذكاء الاصطناعي بعد أن ظلّت كامنة في الكود لمدة 13 عاماً.

الإصدارات المتأثرة وحجم التعرّض

تشمل الإصدارات الهشّة كل ما يسبق Apache ActiveMQ Broker 5.19.4 وكل إصدارات السلسلة 6.x قبل 6.2.3. رصدت مؤسسة Shadowserver نحو 6,364 خادماً مكشوفاً على الإنترنت، فيما رصدت FortiGuard Labs ذروة محاولات الاستغلال في 14 أبريل 2026. الأخطر أن دمج الثغرة مع CVE-2024-32114 في إصدارات 6.0.0–6.1.1 يلغي الحاجة إلى المصادقة، ويحوّل الهجوم إلى تنفيذ شيفرة غير مُصادَق تماماً. بيئات سعودية كثيرة تستخدم ActiveMQ كوسيط بين Core Banking وقنوات SADAD وApple Pay وأنظمة المراسلة الداخلية، مما يضع الوسيط في قلب مسار البيانات المالية الحساسة.

التأثير على المؤسسات المالية السعودية

وسطاء الرسائل في المنشآت المرخّصة من البنك المركزي السعودي يحملون رسائل دفع ومخرجات أنظمة كشف الاحتيال وسجلات حركات بطاقات الدفع. اختراق ActiveMQ يعني انتهاكاً مباشراً لمبدأ Confidentiality في إطار SAMA Cyber Security Control Compliance، وتحديداً ضوابط Network Security وSecure System Engineering. كما تنطبق ضوابط NCA ECC-2 في بند 2-5 (إدارة الثغرات) وبند 2-3 (حماية الأنظمة وأجهزة معالجة المعلومات). أي تسرّب لبيانات حاملي البطاقات يُفعّل التزامات PCI-DSS v4.0 (Requirement 6.3.3) وإلزامية الإفصاح خلال 72 ساعة وفق نظام حماية البيانات الشخصية PDPL ولائحته التنفيذية الصادرة عن SDAIA.

مؤشرات الاختراق التي يجب البحث عنها

راقب طلبات POST/GET غير المعتادة على المسار /api/jolokia خصوصاً تلك التي تحتوي على عمليات createConfigurableServiceFactory أو محاولات تحميل ملفات XML من نطاقات خارجية. ابحث في سجلات ActiveMQ عن استدعاءات MBean غير مألوفة، وفي سجلات الشبكة عن اتصالات صادرة من خادم الوسيط نحو IPs خارجية بعد طلب Jolokia مباشرة. مؤشرات إضافية: ظهور مستخدمي JMS جدد، ملفات jar غير مُوقَّعة في مجلد lib/، وعمليات shell ابنة لعملية Java الرئيسية.

التوصيات والخطوات العملية

1. الترقية فوراً إلى Apache ActiveMQ 5.19.4 أو 6.2.3 ضمن نافذة طوارئ خارج ساعات العمل.
2. عزل واجهة Jolokia عن الإنترنت وحصرها على شبكة إدارة معزولة باستخدام ACL على مستوى Firewall وLoad Balancer.
3. تعطيل الحسابات الافتراضية (admin/admin) وتطبيق سياسة كلمات مرور قوية مع MFA على واجهات الإدارة وفق ضابط SAMA CSCC 3.3.5.
4. تفعيل تسجيل تفصيلي على Jolokia وتغذيته إلى منصة SIEM مع قواعد كشف موجَّهة لأنماط CVE-2026-34197.
5. إجراء فحص ثغرات شامل (Authenticated Vulnerability Scan) لكل بيئات ActiveMQ في الإنتاج والاختبار وDR.
6. مراجعة عقود الطرف الثالث: التأكد من أن مزودي SaaS وخدمات الدفع الخارجية قد رقّعوا أنظمتهم وفق متطلبات Third Party Cybersecurity في NCA ECC.
7. تشغيل Threat Hunting موجَّه على البيانات التاريخية لآخر 30 يوماً للبحث عن استغلال سابق غير مكتشف.

الخلاصة

ثغرة CVE-2026-34197 درس آخر في خطورة المكوّنات مفتوحة المصدر التي تعمل بصمت في عمق البنية التحتية للبنوك السعودية. وضعها على قائمة CISA KEV يعني أن الاستغلال ليس نظرياً بل واقعاً يومياً، وكل ساعة تأخير في الترقيع تُضيف مساحة هجوم لمشغّلي رانسوم وير ومجموعات تجسس تستهدف القطاع المالي الخليجي.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وفحص شامل لتعرّض بنيتك التحتية لثغرات الاستغلال النشط.