CVE-2026-5281: ثغرة Chrome WebGPU صفرية تهدد بنوك SAMA

أعلنت Google عن إصلاح ثغرة صفرية حرجة (CVE-2026-5281) في متصفح Chrome مستغَلَّة في البرية، تكمن في مكوّن Dawn المسؤول عن تنفيذ معيار WebGPU. أُدرجت الثغرة في كتالوج CISA للثغرات المستغَلَّة المعروفة (KEV) في الأول من أبريل 2026، ما يجعل تصحيحها أولوية تشغيلية لكل مؤسسة مالية تعمل ضمن نطاق رقابة البنك المركزي السعودي (SAMA).

تفاصيل تقنية حول ثغرة CVE-2026-5281 في Chrome WebGPU

الثغرة مصنّفة من نوع Use-After-Free داخل مكتبة Dawn، وهي التطبيق مفتوح المصدر متعدد المنصات لمعيار WebGPU في متصفحات Chromium. يحدث الخلل عندما يستمر المتصفح باستخدام مؤشّر إلى منطقة ذاكرة تم تحريرها مسبقاً، مما يفتح الباب لتلف الذاكرة (Memory Corruption) وكتابة بيانات خبيثة في أماكن حسّاسة من سياق العملية.

نظراً لأن WebGPU يمنح صفحات الويب وصولاً مباشراً إلى مسار معالجة وحدة الرسوميات (GPU Pipeline)، فإن استغلال الثغرة لا يتطلّب سوى زيارة الضحية لصفحة HTML خبيثة. وفي حال نجاح المهاجم في اختراق عملية التصيير (Renderer Process)، يمكنه تنفيذ تعليمات برمجية اعتباطية ضمن صندوق رمل المتصفح، تمهيداً لكسر العزل عبر سلسلة استغلال إضافية.

الإصدارات المتأثرة وحالة التصحيح

تشمل الإصدارات المعرّضة كل نسخ Chrome قبل 146.0.7680.177/178 على Windows وmacOS، وقبل 146.0.7680.177 على Linux. وقد طرحت Google تحديثاً عاجلاً في القناة المستقرة، ووصلت كذلك إلى متصفحات مبنيّة على Chromium مثل Microsoft Edge وBrave وOpera. أكّدت Google أنها على علم بـ"استغلال نشط في البرية"، وهي صياغة تستخدمها الشركة عادةً عند رصد سلاسل استغلال متقدّمة تستهدف أهدافاً منتقاة بعناية، ومنها تاريخياً مؤسسات القطاع المالي.

التأثير على المؤسسات المالية السعودية

متصفح Chrome هو الأداة الأكثر استخداماً على محطات العمل في فروع البنوك ومراكز SOC ومكاتب الامتثال داخل المملكة. أيّ ثغرة تنفيذ تعليمات برمجية عن بُعد (RCE) في المتصفح تُترجَم مباشرةً إلى نقطة دخول لـ Initial Access Broker، يمكن بعدها أن تتدحرج نحو سرقة بيانات SWIFT، أو هبوط برمجيات فدية على شبكات الإنتاج المصرفية.

يفرض إطار SAMA CSCC ضمن الضابط 3.3.5 (Endpoint Security) و3.3.10 (Patch Management) تطبيق التصحيحات الحرجة خلال نوافذ زمنية محدّدة، مع التحقق من تغطية كامل أسطول نقاط النهاية. كما يلزم إطار NCA ECC-2:2024 في الضابط 2-10 بإدارة الثغرات وتقييمها وفق جدول زمني موثَّق. أما من منظور PCI-DSS v4.0 فإن المتطلب 6.3.3 يفرض تصحيح الثغرات الحرجة خلال شهر من إصدارها، وهو ما يجعل CVE-2026-5281 سباقاً مع الزمن لكل بنك يعالج بطاقات الدفع.

مؤشرات الاستغلال (IOCs) وسلوك المهاجم المتوقَّع

بناءً على أنماط استغلال ثغرات WebGPU السابقة، يُتوقّع أن يلجأ المهاجمون إلى:

• صفحات Watering Hole مزوّرة تستهدف موظفي قطاعات GRC وSOC.
• إعلانات خبيثة (Malvertising) تُحقن في شبكات إعلانات مالية محلية أو إقليمية.
• روابط TinyURL ومجالات Typosquatting تتظاهر ببوابات SAMA أو موردين معروفين.
• سلاسل استغلال مزدوجة تجمع CVE-2026-5281 مع ثغرة Sandbox Escape مثل CVE-2026-32202 المُغطّاة سابقاً، للوصول إلى صلاحيات SYSTEM.

يجب على فرق SOC مراقبة: انهيارات Chrome غير المعتادة، نشاط GPU شاذ من العمليات الفرعية، اتصالات صادرة من chrome.exe إلى نطاقات حديثة التسجيل، ومحاولات تحميل مكتبات DLL غير موقَّعة داخل سياق المتصفح.

التوصيات والخطوات العملية لفرق الأمن في بنوك SAMA

1. تصحيح فوري خلال 24 ساعة: دفع تحديث Chrome 146.0.7680.177 أو أحدث عبر Group Policy أو Microsoft Intune أو Jamf لمحطات macOS، مع تقرير التغطية إلى لجنة المخاطر السيبرانية.
2. تعطيل WebGPU مؤقتاً عند تعذّر التصحيح: ضبط سياسة WebGPUEnabled على false عبر سياسات المؤسسة، إلى جانب تقييد WebGL وWebAssembly على المحطات الحرجة.
3. تشديد قواعد EDR: إنشاء قاعدة كشف على عمليات فرعية لـ chrome.exe تُحاول الوصول إلى LSASS أو إنشاء عمليات PowerShell، وربطها بالاستجابة الآلية.
4. تجزئة الشبكة (Network Segmentation): عزل محطات تشغيل أنظمة Core Banking وSWIFT عن الإنترنت العام، وفرض Browser Isolation لكل تصفّح خارجي وفق توصيات NCA ECC الضابط 2-12.
5. تدريب وعي: تنبيه الموظفين إلى موجة هجمات Watering Hole محتملة في القطاع المالي، وتذكيرهم بسياسة الإبلاغ عن أي سلوك غير معتاد للمتصفح خلال 15 دقيقة.
6. مراجعة سجلات Proxy وDNS: البحث الرجعي عن زيارات لنطاقات حديثة التسجيل خلال آخر 30 يوماً، ومطابقتها مع تغذيات Threat Intelligence الإقليمية.
7. تحديث خطة الاستجابة للحوادث: إدراج سيناريو "اختراق عبر متصفح موظّف" ضمن أوراق المسرحيات (Playbooks) مع تحديد أوقات الاحتواء المستهدفة (MTTR).

الخلاصة

ثغرة CVE-2026-5281 ليست مجرد تحديث متصفح روتيني؛ إنها تذكير بأن سطح هجوم البنوك السعودية يمتد من بوابة الدفع وحتى آخر تبويب يفتحه موظف في فرع نائي بالخبر أو حائل. سرعة التصحيح، تعطيل الميزات غير الضرورية، وتشديد ضوابط نقطة النهاية ليست خيارات بل التزام تنظيمي صريح ضمن SAMA CSCC وNCA ECC.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، ومراجعة عاجلة لجاهزية تصحيح الثغرات الصفرية في أسطول المتصفحات لديك.