ثغرة Citrix NetScaler الحرجة CVE-2026-3055: تسريب بيانات الجلسات يهدد بوابات القطاع المالي

كشف باحثون أمنيون في مختبرات watchTowr عن ثغرة حرجة في أجهزة Citrix NetScaler ADC وNetScaler Gateway تحمل المعرّف CVE-2026-3055 بتقييم CVSS يبلغ 9.3، تتيح للمهاجم قراءة أجزاء عشوائية من ذاكرة الجهاز واستخراج رموز المصادقة (Authentication Tokens) ومعلومات الجلسات النشطة — ما يعني إمكانية اختطاف جلسات المستخدمين دون الحاجة إلى بيانات اعتمادهم.

التفاصيل التقنية لثغرة CVE-2026-3055

تنشأ الثغرة من خلل في التحقق من المدخلات (Insufficient Input Validation) يؤدي إلى حالة قراءة خارج حدود الذاكرة المخصصة (Out-of-Bounds Read). عند إرسال طلبات مُعدّة خصيصاً إلى واجهة الإدارة أو بوابة الوصول عن بُعد، يستطيع المهاجم استرجاع محتويات ذاكرة الجهاز بشكل متكرر. وبحسب تحليل watchTowr، فإن كل محاولة استغلال تُعيد أجزاء مختلفة من الذاكرة، مما يزيد احتمالية الحصول على بيانات حساسة مثل رموز الجلسات وملفات تعريف الارتباط (Session Cookies) ومعلومات المصادقة متعددة العوامل المؤقتة.

هذا النمط يُشبه إلى حد كبير ثغرة Heartbleed الشهيرة التي ضربت OpenSSL عام 2014، لكن هذه المرة الهدف هو بوابات الشبكة الخاصة الافتراضية (VPN Gateways) وأجهزة موازنة الأحمال (Load Balancers) التي تمثل نقطة الدخول الرئيسية لآلاف الموظفين والأنظمة الداخلية.

المنتجات المتأثرة ونطاق الانتشار

تتأثر بالثغرة جميع إصدارات NetScaler ADC وNetScaler Gateway التي لم تُحدَّث بعد إصدار التصحيح الأمني من Citrix. وتُستخدم هذه الأجهزة على نطاق واسع في المؤسسات المالية كبوابات وصول عن بُعد للموظفين، ومنصات تسليم التطبيقات المصرفية الإلكترونية، وأجهزة موازنة أحمال الأنظمة الأساسية مثل Core Banking وقواعد البيانات. تُقدّر شركة Citrix أن عشرات الآلاف من الأجهزة مُعرّضة عالمياً، وفي منطقة الخليج تحديداً تعتمد كثير من البنوك وشركات التأمين والتمويل على NetScaler كعمود فقري لبنيتها التحتية للوصول عن بُعد.

سيناريو الهجوم العملي

يبدأ المهاجم بإرسال طلبات HTTP مُعدّة إلى واجهة NetScaler المكشوفة على الإنترنت. كل طلب يُعيد جزءاً عشوائياً من ذاكرة الجهاز. بعد عدة محاولات، يجمع المهاجم رموز جلسات صالحة لمستخدمين نشطين — بما فيهم مسؤولو النظام. باستخدام هذه الرموز، يتجاوز المهاجم المصادقة الثنائية (MFA) تماماً ويحصل على وصول كامل إلى الشبكة الداخلية كما لو كان مستخدماً شرعياً. من هناك، يمكنه التحرك أفقياً (Lateral Movement) نحو الأنظمة المالية الحساسة وقواعد بيانات العملاء.

التأثير على المؤسسات المالية السعودية

يفرض إطار SAMA CSCC في النطاق الفرعي 3.3 (إدارة الثغرات الأمنية) التزاماً صريحاً بتطبيق التصحيحات الأمنية الحرجة خلال إطار زمني لا يتجاوز 72 ساعة من إصدارها للأنظمة المكشوفة على الإنترنت. كما تُلزم ضوابط NCA ECC في البند ECC-2:5 بإجراء مسح دوري للثغرات الأمنية على جميع الأصول المعلوماتية ومعالجة النتائج وفق أولوية المخاطر.

ثغرة بتقييم 9.3 على جهاز يمثل بوابة الوصول الرئيسية ليست مجرد مخاطرة تقنية — إنها مخاطرة تنظيمية مباشرة. أي تأخير في التصحيح قد يُعرّض المؤسسة لعقوبات من SAMA، إضافة إلى مخاطر خرق بيانات العملاء التي تقع تحت طائلة نظام حماية البيانات الشخصية PDPL الذي يفرض إشعار الجهات المتضررة خلال 72 ساعة من اكتشاف أي خرق.

التوصيات والخطوات العملية

1. تطبيق التصحيح فوراً: حدّث جميع أجهزة NetScaler ADC وGateway إلى أحدث إصدار أمني من Citrix. لا تنتظر نافذة الصيانة المجدولة — ثغرات بهذا التقييم تستوجب تصحيحاً طارئاً.
2. مراجعة الجلسات النشطة: أبطل جميع الجلسات النشطة (Session Invalidation) على أجهزة NetScaler فور تطبيق التصحيح، حيث قد تكون رموز جلسات حالية مُسرّبة بالفعل.
3. فحص سجلات الوصول: راجع سجلات NetScaler للفترة الماضية بحثاً عن أنماط طلبات غير طبيعية أو محاولات وصول متكررة من عناوين IP مشبوهة تشير إلى محاولات استغلال.
4. تقييد الوصول لواجهة الإدارة: تأكد من أن واجهة إدارة NetScaler (NSIP) غير مكشوفة على الإنترنت، واقصر الوصول إليها على شبكة الإدارة الداخلية فقط عبر قوائم التحكم بالوصول (ACLs).
5. تفعيل مراقبة مستمرة: أضف قواعد كشف مخصصة في منصة SIEM لرصد أنماط الاستغلال المرتبطة بـ CVE-2026-3055، بما في ذلك طلبات HTTP ذات الحمولات المشبوهة الموجهة لبوابات NetScaler.
6. تقييم شامل للبنية التحتية: استغل هذه الحادثة لإجراء مراجعة شاملة لجميع أجهزة الحافة (Edge Devices) المكشوفة على الإنترنت في مؤسستك، بما فيها أجهزة VPN وجدران الحماية ومنصات تسليم التطبيقات.

الخلاصة

ثغرة CVE-2026-3055 تُذكّرنا بأن أجهزة الحافة مثل NetScaler ليست مجرد بنية تحتية صامتة — بل هي أهداف رئيسية للمهاجمين لأنها تجلس بين الإنترنت والشبكة الداخلية وتمتلك إمكانية الوصول إلى أعلى مستويات الصلاحيات. المؤسسات المالية السعودية التي تعتمد على NetScaler يجب أن تتعامل مع هذه الثغرة بأقصى أولوية، ليس فقط لحماية بياناتها بل للحفاظ على امتثالها لمتطلبات SAMA CSCC وNCA ECC.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل فحصاً شاملاً لثغرات أجهزة الحافة وبوابات الوصول عن بُعد.