ثغرة ConnectWise ScreenConnect CVE-2024-1708 تهدد بنوك SAMA

أعلنت وكالة الأمن السيبراني الأمريكية CISA في 28 أبريل 2026 إضافة ثغرة ConnectWise ScreenConnect المصنفة CVE-2024-1708 إلى قائمة الثغرات المستغلة فعلياً (KEV)، مع مهلة معالجة فيدرالية تنتهي في 12 مايو 2026. تستهدف الثغرة منصة الدعم عن بُعد المنتشرة في مزودي الخدمات المُدارة (MSPs) ومراكز عمليات تقنية المعلومات، وقد وُثّق استغلالها من قِبل مجموعات تهديد مرتبطة بكوريا الشمالية (Kimsuky) وعصابات فدية مدعومة من الصين، مما يرفع المخاطر المباشرة على البنية التحتية للبنوك السعودية الخاضعة لرقابة SAMA.

التفاصيل التقنية لثغرة CVE-2024-1708

الثغرة من نوع عبور المسار (Path Traversal) في خادم ScreenConnect على الإصدارات السابقة لـ 23.9.8، وتنشأ من تحقق غير صحيح من حدود مسار الملفات. يمكن للمهاجم استدعاء مسارات تخرج عن النطاق المخصص للوصول إلى ملفات تكوين حساسة، وكتابة ملفات ASPX قابلة للتنفيذ ضمن مسارات الويب. النتيجة العملية هي تنفيذ كود عن بُعد بصلاحيات خدمة ScreenConnect التي تعمل غالباً تحت حساب SYSTEM. تُستخدم الثغرة عادةً مقترنة مع CVE-2024-1709 (تجاوز المصادقة) كسلسلة استغلال متكاملة تمنح المهاجم سيطرة كاملة على المنصة من دون الحاجة إلى أي حساب صالح.

سيناريوهات الاستغلال الموثقة

وثّق باحثون من Mandiant وHuntress عمليات نشر برمجيات خبيثة عبر منصات ScreenConnect مخترقة شملت عوائل LockBit وBlack Basta وأدوات التحكم عن بُعد مثل AsyncRAT وCobalt Strike. كما رُصدت حملة لمجموعة Kimsuky الكورية الشمالية تستغل الثغرة لزرع زرعات SilverRAT في مؤسسات الطاقة والمالية. الخطورة تتضاعف عند اعتماد مزود MSP على نسخة ScreenConnect واحدة لإدارة عشرات العملاء، حيث يتحول اختراق نقطة الإدارة المركزية إلى انتشار جانبي عبر سلسلة الإمداد بأكملها.

التأثير على المؤسسات المالية السعودية

تعتمد كثير من البنوك السعودية على أدوات الدعم عن بُعد لإدارة الفروع وأجهزة الصراف الآلي ومحطات العمل التابعة للمتعاملين الميدانيين. وفق إطار SAMA Cybersecurity Framework وضوابط CSCC في المجال 3.3.5 الخاص بإدارة الثغرات والمجال 3.3.14 لأمن الطرف، يُلزم البنك بتقييم المخاطر الناتجة عن أدوات الإدارة عن بُعد وتطبيق التحديثات الأمنية ضمن نوافذ زمنية محددة بحسب تصنيف الخطورة. كما يفرض إطار NCA ECC في الضابط 2-5-3 ضرورة فصل قنوات الإدارة عن بيئات الإنتاج، ويُلزم نظام حماية البيانات الشخصية PDPL بحماية أي قناة وصول قد تكشف بيانات العملاء أثناء جلسات الدعم. التقصير في معالجة هذه الثغرة قد يُصنَّف كحادثة قابلة للإبلاغ ضمن إطار SAMA Cyber Incident Reporting.

مؤشرات الاختراق التي يجب البحث عنها

راجع سجلات ScreenConnect ضمن مسار Logs/InstanceLog للبحث عن طلبات HTTP تحتوي على تسلسلات ../ متكررة، أو استدعاء صفحة SetupWizard.aspx بعد إكمال التثبيت الأولي، ومسارات وصول إلى App_Extensions غير معتادة، وإنشاء مستخدمين إداريين جدد بدون تذكرة طلب موثقة في نظام إدارة التغيير. على مستوى نقطة النهاية، ابحث عن تنفيذ عمليات PowerShell أو cmd.exe كأبناء مباشرين لعملية ScreenConnect.Service.exe، وتحميل ملفات DLL غير موقّعة من داخل مجلد App_Extensions، وأي اتصالات صادرة إلى مجالات لا تنتمي للبنية التحتية الرسمية لـ ConnectWise.

التوصيات والخطوات العملية

1. الترقية الفورية إلى ScreenConnect 23.9.8 أو أحدث على جميع البيئات الداخلية ومنصات MSP المُستضافة محلياً، مع التحقق من رقم الإصدار بعد الترقية.
2. عزل واجهة إدارة ScreenConnect خلف VPN أو Bastion Host ومنع التعرض المباشر للإنترنت بشكل قاطع.
3. تفعيل المصادقة متعددة العوامل MFA لجميع حسابات المسؤولين والفنيين بدون استثناء، وتفضيل عوامل مقاومة للتصيد مثل FIDO2.
4. تطبيق سياسات وصول مشروط (Conditional Access) تربط الجلسات الإدارية بنطاقات IP مؤسسية وأجهزة مُدارة فقط.
5. دمج سجلات ScreenConnect في منصة SIEM وإنشاء قواعد كشف عالية الأولوية لطلبات SetupWizard.aspx بعد التثبيت ولأنماط Path Traversal.
6. إجراء صيد تهديدات (Threat Hunting) بأثر رجعي على آخر 90 يوماً للتحقق من غياب مؤشرات الاختراق المعروفة المرتبطة بـ Kimsuky وLockBit.
7. مراجعة عقود مزودي MSP والتأكد من إثبات تحديث منصات الإدارة عن بُعد لديهم وفق التزامات SAMA Third Party Cyber Risk Management.

الخلاصة

أدوات الدعم عن بُعد ليست مكوناً مساعداً بل سطح هجوم حساس يربط الإدارة المركزية بكل نقطة طرفية في البنك. إضافة CVE-2024-1708 إلى قائمة KEV بمهلة 12 مايو 2026 تمثل إشارة واضحة لتسريع التعامل مع هذا النوع من الثغرات قبل تحوّلها من ثغرة معروفة إلى حادث فدية كبير. الفشل في التحديث لا يعرّض البيانات للكشف فحسب، بل يفتح طريقاً مباشراً لانتشار البرمجيات الخبيثة ضمن البيئة المنتجة عبر قنوات إدارية موثوقة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.