ثغرة ConnectWise ScreenConnect CVE-2026-32202: تنفيذ كود عن بعد يهدد بنوك SAMA

أضافت وكالة الأمن السيبراني الأمريكية CISA ثغرة CVE-2026-32202 في منتج ConnectWise ScreenConnect إلى كتالوج KEV للثغرات المستغلة فعلياً مع موعد تصحيح إلزامي قبل 12 مايو 2026. الثغرة تتيح تنفيذ كود عن بُعد عبر اجتياز المسار (Path Traversal)، وتمثل تهديداً مباشراً لبيئات إدارة الأصول عن بُعد في البنوك السعودية الخاضعة لرقابة SAMA.

التحليل التقني لثغرة CVE-2026-32202 في ConnectWise ScreenConnect

الثغرة عبارة عن خلل في التحقق من مسارات الملفات داخل واجهة الويب الخاصة بخادم ScreenConnect، حيث يتمكن المهاجم من إرسال طلبات HTTP مُصمّمة بعناية تحتوي على متواليات اجتياز (`../`) للوصول إلى ملفات النظام خارج الدليل المسموح. النتيجة: كتابة ملف خبيث في مسار يُحمَّل تلقائياً عند الإقلاع أو ضمن مكوّن خدمة ASP.NET، مما يفتح الباب لتنفيذ كود عن بُعد بصلاحيات حساب الخدمة (عادة SYSTEM على Windows).

درجة CVSS الأولية للثغرة 9.8 وتصنيف "حرج"، ولا تتطلب مصادقة مسبقة في بعض السيناريوهات حسب تكوين الواجهة. ScreenConnect منتشر في القطاع المالي كأداة دعم فني وإدارة جلسات عن بُعد للموظفين والمكاتب الفرعية، وكثيراً ما يُكشف خادمه على الإنترنت عبر بوابات الدخول للموردين، مما يجعله سطح هجوم جذاب جداً لمجموعات الجرائم المالية وعصابات الفدية.

كيف تُستغل الثغرة فعلياً ضد القطاع المالي

من خلال رصد عيّنات استغلال متداولة، يبدأ المهاجمون عادة بمسح الأصول المعرَّضة للإنترنت بحثاً عن استجابات Header مميزة لـ ScreenConnect، ثم يرسلون طلب POST يستهدف نقطة نهاية تحميل الملفات للكتابة في `App_Code` أو `bin` داخل دليل الخدمة. بعد ثوانٍ، يتم تنفيذ الحمولة الخبيثة (Webshell) ويبدأ المهاجم بتثبيت قنوات قيادة وتحكم (C2) باستخدام أدوات مثل Cobalt Strike أو Sliver، يليها سرقة بيانات الاعتماد المخزّنة في إعدادات Relay وتحرّك أفقي عبر جلسات إدارة الأنظمة المتصلة (relay agents) المنتشرة على محطات الموظفين.

هذا النمط هو نفسه الذي رأيناه في حادثة ScreenConnect لعام 2024، حين استغلت مجموعة Black Basta ثغرة مشابهة لاختراق عشرات المؤسسات خلال أيام. اليوم مع CVE-2026-32202، الفرق أن سطح الاستغلال أوسع لأن الثغرة لا تحتاج صلاحية مسبقة وتؤثر على إصدارات قديمة منتشرة في بيئات On-Premises لم تنل التحديث منذ شهور.

التأثير على المؤسسات المالية السعودية ومتطلبات SAMA

إدارة الأصول عن بُعد في البنوك السعودية تخضع مباشرة لمتطلبات إطار SAMA Cyber Security Framework ضمن الضوابط 3.3.5 (إدارة الوصول المميّز) و3.3.14 (إدارة الثغرات) و3.3.15 (إدارة التصحيحات). أي اختراق لخادم ScreenConnect يعني فعلياً اختراق "نقطة محورية" في البنية التحتية، لأن هذه الأدوات تمتلك صلاحيات إدارية على عدد كبير من الأصول، مما يضعها ضمن تصنيف الأصول الحرجة (Critical Assets) في تقييم أثر الأعمال (BIA).

كذلك يفرض إطار NCA ECC ضمن الضابط 2-10-3 الكشف عن الثغرات ومعالجتها وفق جدول زمني مرتبط بالخطورة، ويوصي بتصحيح الثغرات الحرجة خلال 14 يوماً كحدّ أقصى. أما من زاوية PCI-DSS 4.0 فإن المتطلب 6.3.3 يُلزم البنوك بتصحيح الثغرات الحرجة في الأنظمة التي تُعالج بيانات حاملي البطاقات خلال شهر واحد من إصدار التصحيح. عدم الالتزام يفتح الباب أمام عقوبات تنظيمية ومراجعات SAMA وتأثيرات على تقييم النضج السيبراني (CMM).

التوصيات وخطوات الاستجابة العملية

1. تحديد التعرّض فوراً: امسح الشبكة الداخلية والخارجية بحثاً عن خوادم ScreenConnect باستخدام بصمة Header المميّزة، وتحقق من إصدار الخادم عبر `/About.aspx`.
2. تطبيق التصحيح العاجل: الترقية إلى الإصدار المُحدَّث الذي أصدرته ConnectWise (راجع نشرة الموردة الرسمية)، وتجنّب أي تأخير حتى لو خرج التصحيح خارج نافذة الصيانة المعتادة.
3. عزل الخادم عن الإنترنت العام: ضع خادم ScreenConnect خلف بوابة VPN أو ZTNA Gateway، ولا تكشف الواجهة الإدارية إلا لشبكات إدارية موثّقة.
4. صيد التهديدات (Threat Hunting): ابحث عن طلبات HTTP تحتوي على `..%2f` أو متواليات اجتياز في سجلات IIS، وعن ملفات `.aspx` أو `.dll` حديثة ضمن مجلد `App_Extensions` لم تكن موجودة قبل 1 مايو 2026.
5. تدوير بيانات الاعتماد: أعد إصدار جميع كلمات مرور حسابات الخدمة المرتبطة بـ ScreenConnect ومفاتيح Relay وOAuth Tokens المرتبطة بالتكاملات.
6. تفعيل المراقبة المركّزة: أرسل سجلات ScreenConnect إلى منصة SIEM وأنشئ قواعد Use Cases لرصد إنشاء جلسات Relay جديدة خارج ساعات العمل أو من بلدان غير مألوفة.
7. تقييم تأثير الموردين: راجع التزامات موردي الدعم الفني ومقدّمي الخدمات المُدارة (MSP) الذين يستخدمون ScreenConnect للوصول إلى أصولك، وفق الضابط 3.3.14 من إطار SAMA لإدارة مخاطر الطرف الثالث.

الخلاصة

ثغرة CVE-2026-32202 ليست مجرد تحديث برمجي عادي — هي تحذير من فئة "اختراق محوري" قادر على تحويل أداة دعم فني إلى منصة هجوم متعددة الأهداف داخل البنك. الالتزام بمواعيد CISA يجب أن يكون الحدّ الأدنى وليس السقف، وعلى فرق GRC في البنوك السعودية اعتبار هذه الثغرة اختباراً عملياً لجاهزية برامج إدارة الثغرات والتصحيحات وفق متطلبات SAMA وNCA.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة سطح الهجوم الخارجي وتحديد الأصول المعرّضة لـ CVE-2026-32202 وثغرات أدوات الإدارة عن بُعد المماثلة.