CVE-2026-41940: ثغرة cPanel وهجمات Sorry Ransomware على بنوك SAMA

ثغرة جديدة بدرجة حرجة CVSS 9.8 في لوحة التحكم الأشهر عالمياً cPanel وWHM فتحت الباب أمام موجة هجمات فدية جماعية أصابت أكثر من 44,000 خادم خلال أسابيع قليلة. الثغرة المُسجَّلة كـ CVE-2026-41940 تتيح تجاوز المصادقة بالكامل عن بُعد، وتمنح المهاجم صلاحيات إدارية على الخادم ومواقع العملاء وقواعد بياناتهم، ما يضع المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي (SAMA) أمام مخاطر مباشرة على سلسلة التوريد الرقمية.

تفاصيل الثغرة CVE-2026-41940 وآلية الاستغلال

الثغرة من نوع تجاوز المصادقة (Authentication Bypass) ناتجة عن خلل في معالجة محارف Carriage Return Line Feed (CRLF) داخل عمليتي تسجيل الدخول وتحميل الجلسات في cPanel وWHM. يستطيع المهاجم غير المصادَق إرسال طلب HTTP مُصاغ بعناية يحتوي على CRLF Injection لتجاوز التحقق من الهوية بالكامل، والوصول إلى لوحة الإدارة بصلاحيات root في كثير من الحالات. أكدت Rapid7 وWatchtowr Labs أن الاستغلال موثوق وقابل للأتمتة، فيما رصدت Censys 8,859 خادماً تحتوي على أدلة استغلال نشطة، و7,135 منها يعمل على cPanel أو WHM. تؤكد التقارير أن الاستغلال بدأ كهجوم Zero-Day منذ 23 فبراير 2026، أي قبل الإفصاح العام بأشهر.

هجمات Sorry Ransomware والآلية الجماعية للاستغلال

أبرز ما يميز هذه الموجة هو ظهور Sorry Ransomware، وهو مُشفِّر مكتوب بلغة Go ويستهدف خوادم Linux. بعد اختراق الخادم عبر الثغرة، يُشفِّر المهاجمون الملفات ويُلحقون بها الامتداد .sorry ثم يتركون ملاحظة فدية تطلب التواصل عبر شبكة Tox. أبلغت Shadowserver عن إصابة ما لا يقل عن 44,000 عنوان IP يُشغِّل cPanel، وتتراوح الأهداف بين مزودي الاستضافة (MSPs) والجهات الحكومية في جنوب شرق آسيا والمواقع التجارية. ما يجعل الموقف أكثر خطورة هو أن المهاجمين يستخدمون عدة مجموعات مختلفة لاستغلال نفس الثغرة، مما يوسّع نطاق التأثير سريعاً.

التأثير على المؤسسات المالية السعودية وارتباطه بـ SAMA وNCA

قد يُخطئ من يظن أن البنوك السعودية بعيدة عن هذا التهديد. كثير من البنوك والشركات المالية في المملكة تعتمد على شركاء تسويق ووكالات إعلانية ومزودي استضافة يستخدمون cPanel لإدارة المواقع الفرعية، وصفحات الحملات، والمواقع التعريفية للمنتجات، ومنصات التوظيف. اختراق أي من هذه المواقع يُمثّل بوابة لهجمات تصيّد متقدمة باسم البنك، ويُعرّض بيانات العملاء للخطر بما يخالف نظام حماية البيانات الشخصية (PDPL). من منظور SAMA Cyber Security Framework وضوابط CSCC، تندرج هذه المخاطر تحت بند Third-Party Cyber Security Risk Management ومراقبة سلسلة التوريد، وتلامس متطلبات NCA ECC في الضابط 4-2-3 المتعلق بالأمن السيبراني للأطراف الخارجية. أي تقصير في رصد المخاطر لدى الموردين قد يُترجَم إلى ملاحظات تدقيق وعقوبات تنظيمية مباشرة.

التوصيات والخطوات العملية

1. التحقق فوراً من إصدار cPanel وWHM لدى جميع المزودين الخارجيين، والترقية إلى الإصدارات المُعالَجة 11.110.0.55 و11.112.0.21 و11.114.0.24 وما فوق وفق توصية cPanel الرسمية.
2. تنفيذ مسح تهديدات (Threat Hunting) للبحث عن مؤشرات Sorry Ransomware (ملفات بامتداد .sorry، ملاحظات فدية، اتصالات Tox خارجة، وعمليات Go غير معروفة على خوادم Linux).
3. تحديث مصفوفة مخاطر الموردين (Vendor Risk Register) لتشمل مزودي الاستضافة والوكالات التسويقية، وفق متطلبات SAMA CSCC في الجزء الخاص بإدارة مخاطر الطرف الثالث.
4. تطبيق Web Application Firewall (WAF) أمام لوحات cPanel/WHM، وتقييد الوصول الإداري إلى عناوين IP محددة عبر Geo-fencing وقوائم بيضاء.
5. تفعيل المصادقة متعددة العوامل (MFA) على جميع حسابات WHM والإدارة، وتمكين تسجيل أحداث الجلسات (Session Logging) وإرسالها إلى SOC المركزي للتحليل.
6. إجراء اختبار اختراق (Penetration Test) خارجي على المواقع التابعة للبنك أو شركاؤه، مع التركيز على نواقل CRLF Injection وتجاوز المصادقة، بما يدعم متطلب SAMA بإجراء اختبارات دورية.
7. توثيق خطة استجابة للحوادث (Incident Response Playbook) خاصة بمزودي الاستضافة، تتضمن قنوات إبلاغ سريعة وإجراءات عزل، تماشياً مع NCA ECC الضابط 5-1.

الخلاصة

ثغرة CVE-2026-41940 تذكير قاسٍ بأن أضعف نقطة في منظومة الأمن السيبراني للبنك ليست بالضرورة داخل جدرانه، بل عند مزود استضافة موقع تسويقي صغير يديره وكيل خارجي. الموجة الحالية لـ Sorry Ransomware تكشف أن المهاجمين باتوا يعتمدون على الأتمتة والاستغلال الجماعي لزيادة العائد، وأن المؤسسات المالية السعودية بحاجة إلى نقل التركيز من حماية المحيط الداخلي فقط إلى إدارة دقيقة لسلسلة التوريد الرقمية وفق ضوابط SAMA CSCC وNCA ECC.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة شاملة لمخاطر الطرف الثالث ومزودي الاستضافة وحماية النطاقات التابعة لمؤسستك.