ثغرتان حرجتان في Cisco ISE وWebex بدرجة CVSS 9.9 — خطر مباشر على شبكات المؤسسات المالية السعودية

أصدرت Cisco في أبريل 2026 تحديثات أمنية طارئة لإصلاح أربع ثغرات حرجة، أبرزها CVE-2026-20147 في منصة Identity Services Engine (ISE) بدرجة CVSS 9.9، وCVE-2026-20184 في خدمات Webex بدرجة CVSS 9.8. كلتا الثغرتين تتيحان للمهاجم غير المصادق تنفيذ أوامر عشوائية على الأنظمة المتأثرة — وهو ما يُمثّل تهديداً مباشراً لأي مؤسسة مالية تعتمد على هذه المنصات في تحكّمها بالوصول الشبكي أو اتصالاتها الداخلية.

تفاصيل الثغرتين: ما الذي يجعلهما استثنائيتين؟

CVE-2026-20147 تستهدف مكوّن Identity Services Engine الذي تعتمد عليه المؤسسات المالية كمحور مركزي للتحقق من الهوية وسياسات الوصول الشبكي (NAC). الثغرة ناتجة عن قصور في التحقق من صحة المدخلات في واجهات الإدارة، ما يُتيح لمهاجم على الشبكة الداخلية أو المعرَّضة للإنترنت تنفيذ أوامر بصلاحيات النظام دون أي بيانات اعتماد. أما CVE-2026-20184، فتطال عملية التحقق من الشهادات في تكامل SSO داخل Webex، مما يُمكّن المهاجم من انتحال هوية مستخدمين موثوقين واختراق جلسات الاتصال المشفّرة.

ما يرفع درجة الخطورة إلى أعلى مستوياتها هو طبيعة الاستغلال: لا تحتاج الثغرتان إلى تفاعل من المستخدم، ولا إلى امتيازات مسبقة، وهو ما يُصنَّف في عالم أمن المعلومات بـ "zero-click, zero-auth" — النمط الأكثر خطورة في تصنيف CVSSv3.

لماذا تحتل Cisco ISE مكانة محورية في البنوك السعودية؟

تعتمد غالبية البنوك والمؤسسات المالية الكبرى في المملكة العربية السعودية على Cisco ISE لتطبيق سياسات Zero Trust على مستوى الشبكة: التحقق من هوية الأجهزة قبل منحها الوصول، وعزل الشبكات المختلفة، ومراقبة حركة المرور بين الأقسام. اختراق هذه المنصة يعني فعلياً إسقاط الطبقة الأولى من دفاعات المؤسسة بأكملها — مما يُفتح الباب أمام حركة جانبية (lateral movement) غير مرصودة داخل شبكة الإنتاج.

علاوة على ذلك، يُستخدم Cisco Webex كمنصة اتصالات رسمية في كثير من المؤسسات المالية المنظَّمة من SAMA، بما يشمل اجتماعات مجلس الإدارة وجلسات مراجعة المخاطر ومكالمات فرق الامتثال. ثغرة في SSO قد تُتيح التنصت على محادثات حساسة أو تزوير هوية مسؤول رفيع داخل النظام.

التأثير على الامتثال التنظيمي في المؤسسات المالية السعودية

وفقاً لإطار SAMA Cyber Security Control أو CSCC، يُلزَم كل فرد في القطاع المالي بالحفاظ على ضوابط صارمة لإدارة الهوية والوصول (Domain 4) وأمن الشبكات (Domain 5). ثغرة بهذا المستوى في أنظمة NAC المركزية قد تُشكّل خرقاً مباشراً لهذه المتطلبات، مما يُعرّض المؤسسة لتبعات تنظيمية من SAMA إضافة إلى المخاطر التشغيلية.

كذلك، يُشدّد إطار NCA ECC-1:2018 ضمن ضوابط أمن الشبكات (3-3) وإدارة الهوية والوصول (3-5) على ضرورة الترقيع الفوري للثغرات الحرجة خلال مدة لا تتجاوز 72 ساعة للمنظومات الحساسة. Cisco ISE بطبيعتها تُصنَّف ضمن هذه الفئة.

التوصيات والخطوات العملية

1. ترقيع فوري: تحقّق من إصدارات Cisco ISE وWebex لديك وقارنها بالإصدارات المُصلَحة المُعلنة في النشرة الأمنية cisco-sa-ise-input-K8TQKQ وcisco-sa-webex-sso-9xZtQB. طبّق التحديثات خلال 72 ساعة للأنظمة المعرَّضة للشبكات الداخلية أو 24 ساعة لأي مكوّن مكشوف على الإنترنت.
2. عزل واجهات الإدارة: في حال تعذّر الترقيع الفوري، قيّد الوصول إلى واجهات إدارة ISE على شبكات VLAN منفصلة ذات وصول مُقيَّد بعناوين IP محددة فقط.
3. مراقبة السجلات: فعّل مراقبة مكثّفة على سجلات ISE بحثاً عن أي طلبات مصادقة غير مألوفة أو محاولات وصول بدون بيانات اعتماد سليمة في الفترة الماضية.
4. مراجعة سياسات SSO: أجرِ مراجعة طارئة لشهادات SSO المُستخدمة في بيئات Webex وتحقّق من سلامة الثقة في سلسلة PKI الداخلية.
5. تقييم الأثر: طلب تقرير تحليل أثر سريع من فريق الأمن للإجابة على: هل ثمة مؤشرات على استغلال مسبق للثغرة قبل إصدار الترقيع؟ (IoC sweep)

الخلاصة

ثغرات بدرجة CVSS 9.9 في أنظمة التحكم بالوصول الشبكي ليست مجرد تنبيهات أمنية روتينية — هي نوافذ مفتوحة أمام المهاجمين لاختراق البنية التحتية بالكامل قبل أن يرصدها أي نظام كشف. المؤسسات المالية السعودية التي تعمل تحت رقابة SAMA وNCA لا تملك ترف التأخير في الاستجابة لمثل هذه الإشعارات. الترقيع ليس خياراً — هو التزام تنظيمي وتشغيلي في آنٍ واحد.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وتحديد مواطن الضعف في منظومة إدارة الهوية والوصول لديك قبل أن يفعل المهاجمون.