ثغرة Citrix NetScaler CVE-2026-3055: تسريب ذاكرة SAML يمنح المهاجمين سيطرة كاملة على بوابات الشبكة

أضافت وكالة CISA الأمريكية ثغرة CVE-2026-3055 إلى قائمة الثغرات المستغلة فعلياً (KEV)، بعد تأكيد استغلال نشط يستهدف أجهزة Citrix NetScaler ADC وNetScaler Gateway المُهيّأة كمزوّد هوية SAML. الثغرة تحمل درجة خطورة CVSS 9.3 وتتيح لمهاجم غير مصادق عن بُعد قراءة محتويات حساسة من ذاكرة الجهاز — بما فيها معرّفات جلسات المدراء — مما يفتح الباب لسيطرة كاملة على البنية التحتية للشبكة.

ما هي ثغرة CVE-2026-3055 وكيف تعمل؟

CVE-2026-3055 هي ثغرة قراءة خارج حدود الذاكرة (Out-of-Bounds Read) ناتجة عن عدم كفاية التحقق من المدخلات في أجهزة NetScaler ADC وNetScaler Gateway. الشرط الأساسي للاستغلال هو أن يكون الجهاز مُهيّأً للعمل كمزوّد هوية SAML (SAML Identity Provider)، وهو إعداد شائع في بيئات تسجيل الدخول الموحّد (SSO) التي تعتمدها المؤسسات المالية لربط خدماتها السحابية والداخلية.

الثغرة تغطي في الواقع خللين منفصلين: الأول يؤثر على نقطة النهاية /saml/login المسؤولة عن مصادقة SAML، والثاني يؤثر على نقطة النهاية /wsfed/passive المستخدمة في مصادقة WS-Federation. في كلتا الحالتين، يرسل المهاجم طلب SAMLRequest مُعدّل خصيصاً مع حذف حقل AssertionConsumerServiceURL، مما يدفع الجهاز إلى تسريب محتويات الذاكرة عبر ملف تعريف الارتباط NSC_TASS.

آلية الاستغلال: من مسح أولي إلى سيطرة كاملة

رصد باحثون أمنيون في watchTowr وDefused Cyber نشاط استطلاع مكثف يستهدف أجهزة NetScaler في البرّية (in the wild). يبدأ المهاجمون بمسح نقطة النهاية /cgi/GetAuthMethods لتعداد آليات المصادقة المُفعّلة على الجهاز المستهدف. بمجرد تأكيد تفعيل SAML IdP، ينتقلون إلى إرسال طلبات مُعدّلة تستخرج معرّفات الجلسات النشطة من ذاكرة الجهاز.

الخطورة الحقيقية تكمن في أن الجلسات المسروقة تشمل جلسات المدراء المصادق عليهم. بامتلاك معرّف جلسة إدارية صالح، يستطيع المهاجم تجاوز كل طبقات المصادقة والحصول على وصول كامل لوحة تحكم NetScaler — مما يعني القدرة على تعديل سياسات التوجيه، وإنشاء أنفاق VPN خلفية، واعتراض حركة مرور البيانات المشفرة.

لماذا تمثّل هذه الثغرة تهديداً مباشراً للبنوك السعودية؟

أجهزة Citrix NetScaler ADC وGateway تُعدّ من البنية التحتية الأساسية في القطاع المالي السعودي، حيث تُستخدم كبوابات وصول عن بُعد للموظفين والمقاولين، وكموازن أحمال لتطبيقات الخدمات المصرفية الإلكترونية. كثير من البنوك والمؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي (SAMA) تعتمد إعداد SAML IdP على هذه الأجهزة لتوحيد تسجيل الدخول مع منصات مثل Microsoft 365 وServiceNow وأنظمة إدارة المخاطر الداخلية.

إطار عمل SAMA CSCC يُلزم المؤسسات المالية في نطاق 3.3.3 (إدارة الثغرات) بتطبيق التحديثات الأمنية الحرجة خلال إطار زمني محدد، كما يتطلب نطاق 3.3.7 (أمن الشبكات) مراقبة مستمرة لأجهزة البوابات والتحكم في الوصول. إطار NCA ECC كذلك يُلزم في ضوابط إدارة الثغرات التقنية بالمعالجة الفورية للثغرات المستغلة فعلياً والمُدرجة في قوائم KEV.

الإصدارات المتأثرة وحالة التصحيح

تؤثر الثغرة على أجهزة NetScaler ADC وNetScaler Gateway المُهيّأة كـ SAML IdP. أصدرت Citrix تحديثات أمنية لمعالجة الخلل، وقد حدّدت CISA موعداً نهائياً في 2 أبريل 2026 للجهات الفيدرالية الأمريكية لتطبيق التصحيحات — وهو مؤشر واضح على مستوى الخطورة. رغم أن هذا الموعد لا يُلزم الجهات السعودية قانونياً، إلا أن متطلبات SAMA CSCC تفرض معايير مماثلة أو أشد صرامة.

التوصيات والخطوات العملية

1. تطبيق التحديث فوراً: قم بترقية أجهزة NetScaler ADC وGateway إلى أحدث إصدار مُصحّح من Citrix. لا تؤجّل — الاستغلال الفعلي جارٍ الآن.
2. مراجعة إعدادات SAML IdP: تحقق مما إذا كانت أجهزتك مُهيّأة كمزوّد هوية SAML. إذا لم تكن هذه الميزة ضرورية، قم بتعطيلها لتقليص سطح الهجوم.
3. فحص سجلات الوصول: راجع سجلات طلبات /saml/login و/wsfed/passive و/cgi/GetAuthMethods بحثاً عن أنماط طلبات غير طبيعية أو طلبات SAMLRequest مشوّهة.
4. إبطال الجلسات النشطة: كإجراء احترازي، قم بإبطال جميع جلسات الإدارة النشطة على أجهزة NetScaler وأعد إصدار بيانات الاعتماد الإدارية.
5. تفعيل مراقبة WAF وIDS: أضف قواعد كشف مخصصة في جدار حماية تطبيقات الويب ونظام كشف التسلل لرصد الطلبات المُعدّلة التي تستهدف نقاط SAML.
6. إجراء تقييم شامل للثغرات: استخدم أدوات مثل Qualys وTenable وRapid7 لمسح كامل البنية التحتية بحثاً عن أجهزة NetScaler غير مُحدّثة.

الخلاصة

ثغرة CVE-2026-3055 ليست مجرد خلل تقني — إنها بوابة مفتوحة تتيح للمهاجمين سرقة جلسات المدراء والسيطرة على أجهزة تُعدّ العمود الفقري لشبكات المؤسسات المالية. مع تأكيد الاستغلال الفعلي وإدراج الثغرة في قائمة KEV، لم يعد التأخير في التصحيح خياراً مقبولاً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وفحص شامل لأجهزة البوابات في بنيتك التحتية.