ثغرة Azure DevOps CVE-2026-42826: تسريب بيانات بدرجة 10/10 يهدد بنوك SAMA

كشفت Microsoft في 7 مايو 2026 عن ثغرة حرجة في Azure DevOps تحمل المعرّف CVE-2026-42826 بدرجة CVSS قصوى تبلغ 10 من 10، تتيح لمهاجم غير مصادَق عليه كشف بيانات حساسة عبر الشبكة. الثغرة تستهدف منصة شائعة في فرق DevOps لدى البنوك السعودية، ما يجعلها تهديداً مباشراً لسلامة سلاسل الإمداد البرمجية ومتطلبات SAMA CSCC.

تفاصيل الثغرة CVE-2026-42826 ومتجه الهجوم

تُصنَّف الثغرة ضمن CWE-200 (كشف معلومات حساسة لطرف غير مخوّل)، ومتجه CVSS الكامل هو AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. هذه القيم تعني أن الهجوم يتم عبر الشبكة بتعقيد منخفض، دون الحاجة إلى صلاحيات مسبقة أو تفاعل من المستخدم، مع تأثير على نطاق متغيّر (Scope: Changed) أي أن الاختراق يمتد إلى مكونات خارج المكوّن الأصلي. النتيجة: تسرّب محتمل لأسرار البناء (build secrets)، ورموز الوصول الشخصية (PATs)، وسلاسل اتصال قواعد البيانات، ومتغيرات البيئة المخزّنة في مسارات Pipelines.

لماذا تهم Azure DevOps في القطاع المالي السعودي

اعتمدت كثير من البنوك السعودية وشركات التقنية المالية على Azure DevOps Services وAzure DevOps Server كنواة لإدارة الكود المصدري وخطوط CI/CD ونشر الخدمات السحابية. هذه المنصة تخزّن في الغالب: مفاتيح Azure Key Vault، وشهادات mTLS لربط شبكات SARIE وSADAD، ومكتبات قواعد المعاملات، وقواعد كشف الاحتيال. أي تسريب من هذه البيئة قد يمنح مهاجم رؤية مباشرة على البنية التحتية الإنتاجية للبنك، حتى لو كانت بيئات الإنتاج نفسها معزولة منطقياً.

التأثير على المؤسسات المالية الخاضعة لـ SAMA

إطار SAMA Cyber Security Control Framework (CSCC) في الضابط 3.3.5 يلزم المؤسسات بحماية بيئات التطوير والاختبار بمستوى ضمان مماثل لبيئة الإنتاج عند احتوائها على بيانات حقيقية أو أسرار حية. كما يفرض الضابط 3.3.14 تطبيق Secure Software Development Lifecycle مع مراجعة منتظمة لأمن سلسلة الإمداد البرمجية. ثغرة CVE-2026-42826 تضرب هذين الضابطين معاً، وتفتح باب المساءلة أمام إدارة المخاطر السيبرانية في حال غياب ضوابط تعويضية موثقة. ومن جهة هيئة الاتصالات والفضاء والتقنية (CST) وضوابط NCA ECC-1:2018، فإن الضابط 2-10-3-1 (إدارة سلاسل الإمداد) يستوجب تقييم أمن مزودي الخدمة السحابية، بينما يلزم نظام حماية البيانات الشخصية (PDPL) الإفصاح عن أي حادثة قد تشمل بيانات شخصية لعملاء.

سيناريوهات الاستغلال المحتملة

على الرغم من أن Microsoft لم تنشر إثبات استغلال علني، فإن قراءة متجه CVSS تكشف عن عدة سيناريوهات واقعية: مهاجم خارجي يستخرج محتوى مستودعات خاصة عبر طلبات API غير مصادقة؛ تسريب أسرار pipeline تُستخدم لاحقاً لتنفيذ هجوم Supply Chain على فروع release؛ كشف معلومات تكوين خدمات Service Connections التي تربط Azure DevOps ببيئات Azure Production الخاصة بالبنك. التاريخ يُذكّرنا بحادثة CodeCov 2021 وحادثة Okta 2023 حيث تحول تسريب بيئة CI/CD إلى اختراق كامل لقاعدة العملاء.

التوصيات والخطوات العملية لفرق الأمن في البنوك

1. التحقق فوراً من أن مؤسستك تستخدم Azure DevOps Services السحابي (تمت معالجته تلقائياً من Microsoft) أم Azure DevOps Server المثبّت محلياً (يحتاج تحديث يدوي عبر بوابة MSRC).
2. تدوير جميع الأسرار المخزّنة في Variable Groups وService Connections وPersonal Access Tokens خلال 72 ساعة كإجراء احترازي، وفقاً لمبدأ Assume Breach الذي تتبناه SAMA CSCC.
3. تفعيل Azure DevOps Auditing وتصدير السجلات إلى منصة SIEM مع قواعد كشف لأنماط Repository Cloning غير الاعتيادية وتنزيلات Artifact غير المرتبطة بمستخدم معروف.
4. تطبيق Conditional Access وتقييد الوصول إلى Azure DevOps من نطاقات IP المؤسسية فقط، مع فرض MFA عبر Microsoft Entra ID لكل المستخدمين بدون استثناء.
5. مراجعة سياسة Branch Protection وفرض توقيع رقمي للـ commits على فروع release ومراجعة الكود من اثنين على الأقل وفق متطلبات Segregation of Duties في CSCC الضابط 3.3.4.
6. إجراء تقييم Threat Modeling على خط CI/CD كاملاً يغطي مخاطر STRIDE خصوصاً Information Disclosure وElevation of Privilege، وتوثيق نتائجه ضمن سجل المخاطر التشغيلية.
7. إخطار لجنة المخاطر التقنية وSAMA في حال ثبت تأثر بيانات عملاء، وفق متطلبات Cyber Incident Reporting خلال 4 ساعات من الاكتشاف.

الخلاصة

ثغرة CVE-2026-42826 ليست مجرد رقم في قائمة CVE الشهرية لـ Microsoft؛ إنها اختبار لجاهزية فرق DevSecOps في البنوك السعودية أمام تهديدات سلاسل الإمداد البرمجية. النضج الحقيقي يقاس بسرعة الاستجابة وعمق الضوابط التعويضية التي تطبَّق قبل أن يتحول التسريب إلى حادثة قابلة للإفصاح. مع تشديد SAMA متطلباتها في تحديثات CSCC الأخيرة، لم يعد الاكتفاء بترقية إصدار Azure DevOps Server خياراً مقبولاً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني لخط CI/CD وفق SAMA CSCC، يشمل مراجعة Azure DevOps وضوابط سلسلة الإمداد البرمجية.