CVE-2026-40372: ثغرة ASP.NET Core الحرجة تمنح SYSTEM لبنوك SAMA

أصدرت مايكروسوفت في 28 أبريل 2026 تحديثاً أمنياً طارئاً خارج الدورة (Out-of-Band) لمعالجة ثغرة حرجة في إطار عمل ASP.NET Core تحمل المعرف CVE-2026-40372 وبدرجة خطورة CVSS 9.1. الثغرة تسمح لمهاجم غير مصادق عليه بتزوير ملفات تعريف الارتباط الخاصة بالمصادقة والحصول على صلاحيات SYSTEM على الخوادم المتأثرة، مما يضع عشرات التطبيقات البنكية السعودية المبنية على .NET 10 في خط النار المباشر.

تشريح ثغرة CVE-2026-40372 في ASP.NET Core Data Protection

تكمن الثغرة في حزمة Microsoft.AspNetCore.DataProtection التي تعد العمود الفقري لتشفير الكوكيز والتوكنات في معظم تطبيقات .NET الحديثة. كشفت تحليلات فريق MSRC أن خطأ انحدار (Regression) ظهر في تحديث .NET 10.0.6 الصادر في 14 أبريل 2026 ضمن دورة تحديثات الثلاثاء، حيث بدأ المُشفِّر المعتمد (Authenticated Encryptor) في حساب علامة التحقق HMAC على أجزاء غير صحيحة من الحمولة، وفي بعض الحالات يتجاهل قيمة الـ HMAC المحسوبة كلياً.

هذا الخلل يُسقط ضمانات السلامة (Integrity Guarantees) التي تقدمها Data Protection API، ويسمح بمرور حمولات مزورة عبر فحوصات الأصالة. الأخطر أن الثغرة تؤثر بشكل أساسي على عمليات النشر التي تعمل على Linux وmacOS، وهي البيئات السائدة في المنصات السحابية المستخدمة في الخدمات المصرفية السعودية الحديثة.

سيناريو الاستغلال: من تزوير الكوكيز إلى السيطرة الكاملة

يستغل المهاجم الثغرة عبر صياغة (Forging) كوكيز مصادقة تحمل صلاحيات إدارية مزورة، ثم إرسالها إلى التطبيق المستهدف. نظراً لأن آلية التحقق من سلامة البيانات معطلة عملياً، يقبل التطبيق هذه الكوكيز كصالحة. عند تنفيذها داخل عملية تطبيق ASP.NET Core التي تعمل بصلاحيات NT AUTHORITY\SYSTEM أو حساب خدمة عالي الصلاحيات، يحصل المهاجم على تنفيذ أوامر بنفس مستوى الصلاحية.

الإصدارات المتأثرة هي 10.0.0 إلى 10.0.6 من حزمة Microsoft.AspNetCore.DataProtection، وقد تمت معالجة الثغرة في الإصدار 10.0.7. ما يُصعِّب الأمر هو أن مجرد تحديث الحزمة لا يكفي؛ فأي توكن أو كوكي تم إصداره قبل التصحيح يبقى صالحاً للاستغلال حتى تتم دورة مفاتيح Data Protection Key Ring بالكامل.

التأثير على المؤسسات المالية السعودية وبنوك SAMA

اعتماد بنوك SAMA المتزايد على تطبيقات .NET في الخدمات الإلكترونية والـ API Banking وبوابات الدفع يجعل هذه الثغرة تهديداً تشغيلياً مباشراً. وفقاً لإطار SAMA Cyber Security Framework Control 3.3.5، يجب على البنوك إدارة الثغرات الحرجة خلال نوافذ زمنية صارمة، فيما يفرض ضابط NCA ECC 2-10-3-1 (إدارة التحديثات والإصلاحات) معالجة عاجلة للثغرات النشطة الاستغلال.

الأخطر أن استغلال هذه الثغرة قد يُمكِّن المهاجمين من تجاوز ضوابط المصادقة متعددة العوامل (MFA) المفروضة بموجب SAMA CSCC 3.3.10، لأن الكوكي المزور يأتي بعد المصادقة الناجحة في تدفق التطبيق. كما أن أي خرق ينتج عن استغلال هذه الثغرة يُفعِّل التزامات الإبلاغ خلال 72 ساعة وفق المادة 27 من نظام حماية البيانات الشخصية PDPL في حال تأثرت بيانات العملاء.

التوصيات والخطوات العملية لفرق الأمن السعودية

1. الترقية الفورية: تحديث Microsoft.AspNetCore.DataProtection إلى الإصدار 10.0.7 على جميع البيئات الإنتاجية والاختبارية، مع إعادة بناء التطبيقات وإعادة نشرها.
2. دوران مفاتيح Data Protection: إجراء Key Ring Rotation كاملاً لإبطال جميع التوكنات والكوكيز التي صدرت قبل التصحيح، وفق توصية MSRC الرسمية.
3. الفحص الجنائي الرجعي: مراجعة سجلات الويب وWAF بحثاً عن جلسات بكوكيز مصادقة طويلة العمر أو غير معتادة منذ 14 أبريل 2026، تاريخ ظهور الانحدار.
4. تفعيل قواعد كشف مخصصة: نشر قواعد Sigma على منصة SOC لرصد أنماط استغلال الـ HMAC المزور، مع التركيز على الأنماط المنشورة من Microsoft Defender وMicrosoft Sentinel.
5. تدقيق سلسلة التوريد: فحص جميع التبعيات الفرعية (Transitive Dependencies) في حال بنوك SAMA التي تستخدم منصات GRC أو Core Banking مبنية على .NET 10، خاصة بيئات Linux containerized.
6. إبلاغ الجهات التنظيمية: إعداد تقييم تأثير وفق متطلبات SAMA Incident Reporting في حال اكتشاف أي مؤشر اختراق مرتبط بهذه الثغرة.

الخلاصة

ثغرة CVE-2026-40372 ليست مجرد خطأ برمجي عابر، بل تكشف هشاشة سلسلة التوريد البرمجية حتى داخل أكثر الأطر اعتماداً في القطاع المصرفي. سرعة الاستجابة من فرق الأمن السعودية، والتزامها بإطار SAMA CSCC وNCA ECC 2:2024، هي الفارق بين حادثة احتواها فريق SOC في ساعات، وكارثة تمتد لأسابيع وتستدعي إبلاغاً عاجلاً للسلطات التنظيمية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني لتطبيقاتك المصرفية وفق SAMA CSCC، وللحصول على خطة استجابة مخصصة لثغرات سلسلة التوريد البرمجية.