CVE-2025-48700: ثغرة Zimbra تهدد بريد البنوك السعودية - أكثر من 10,000 خادم مكشوف

أضافت وكالة CISA الأمريكية ثغرة CVE-2025-48700 في Synacor Zimbra Collaboration Suite إلى كتالوج الثغرات المُستغلَّة فعلياً (KEV)، وسط تأكيدات بأن أكثر من 10,000 خادم بريد إلكتروني لا يزال مكشوفاً ومعرَّضاً للهجوم. الثغرة تستهدف منصة بريد تستخدمها عدة مؤسسات مالية ومقدمي خدمات في المملكة العربية السعودية، ما يضع مسؤولي الأمن في بنوك SAMA أمام مهلة استجابة ضيقة.

تشريح الثغرة: XSS بدون تفاعل في واجهة Zimbra الكلاسيكية

ثغرة CVE-2025-48700 هي ثغرة Cross-Site Scripting مخزَّنة تصيب الإصدارات 8.8.15 و9.0 و10.0 و10.1 من Zimbra Collaboration Suite. الخطورة الحقيقية تكمن في أنها لا تتطلب أي تفاعل من المستخدم بخلاف فتح البريد، حيث يكفي أن يعرض الموظف رسالة مصممة بدقة عبر واجهة Classic UI ليُنفَّذ كود JavaScript ضار في سياق جلسته المُصادَق عليها.

هذا النمط من الهجوم يسمح للمهاجم بسرقة كوكيز الجلسة، وتنفيذ عمليات نيابة عن المستخدم، واستخراج محتوى صناديق البريد التنفيذية بصمت. وقد رصدت CERT-UA منذ سبتمبر 2025 مجموعة التهديد UAC-0233 وهي تستغل الثغرة بالاقتران مع CVE-2025-66376 ضد أهداف أوكرانية، ما يكشف عن قدرة عملياتية ناضجة لدى المهاجمين.

لماذا تشكّل خوادم Zimbra نقطة ضعف استراتيجية في القطاع المالي؟

على الرغم من تحوّل كثير من البنوك الكبرى إلى Microsoft 365 وExchange Online، تبقى Zimbra حاضرة بقوة في شركات التمويل المتوسطة، شركات التأمين، فروع البنوك الإقليمية، ومقدمي الخدمات (Service Providers) الذين يربطون بالبنية التحتية البنكية. أي اختراق لخادم Zimbra تابع لطرف ثالث في سلسلة التوريد قد يفتح الباب لهجمات Business Email Compromise موجَّهة ضد قسم الخزينة أو قسم الموارد البشرية في البنك العميل.

الأخطر من ذلك أن Zimbra في كثير من النشرات الإنتاجية تُدار من قِبَل فريق IT عام وليس فريق أمن مخصص، ما يعني أن دورة الترقيع غالباً ما تتأخر. وقد أصدرت Synacor الترقيعات في يونيو 2025، إلا أن ضحايا اليوم هم منشآت لم تُحدِّث منذ أكثر من عشرة أشهر.

التأثير على المؤسسات المالية السعودية ومتطلبات SAMA CSCC

وفق إطار SAMA Cyber Security Framework، تقع هذه الثغرة في تقاطع عدة ضوابط حرجة: الضابط 3.3.5 (إدارة الثغرات Vulnerability Management)، 3.3.6 (إدارة التصحيحات Patch Management)، و3.3.14 (الحماية من البرمجيات الخبيثة وحماية البريد). كما تُلامس متطلبات NCA ECC في المكوّن 2-10 (أمن البريد الإلكتروني) و2-12 (الأمن من التهديدات السيبرانية).

ومن منظور حماية البيانات الشخصية، فإن أي تسرّب لمراسلات تحتوي بيانات عملاء يُصنَّف حادثة قابلة للإبلاغ خلال 72 ساعة وفق نظام حماية البيانات الشخصية PDPL والمادة 24 من لائحته التنفيذية. التأخر في الإبلاغ يستوجب غرامات تصل إلى 5 ملايين ريال.

كما أن البنوك التي تعتمد على مزوّدين خارجيين لاستضافة بريد Zimbra تواجه مسؤولية مضاعفة بموجب الضابط 3.3.16 من SAMA CSCC الخاص بإدارة مخاطر الأطراف الثالثة (Third-Party Risk Management).

التوصيات والخطوات العملية للاستجابة الفورية

1. الترقيع العاجل: ترقية جميع خوادم ZCS إلى الإصدارات 9.0.0 P44، 10.0.13، أو 10.1.5 على الأقل خلال 48 ساعة، مع توثيق التغيير في سجل التغييرات وفق الضابط 3.3.7.
2. تعطيل واجهة Classic UI مؤقتاً: فرض استخدام Modern UI على جميع المستخدمين كإجراء تخفيف مؤقت إلى حين اكتمال الترقيع، عبر zmprov modifyConfig zimbraWebClientLoginURL.
3. فحص المؤشرات: البحث في سجلات mailboxd عن أنماط Base64 مشبوهة في حقول البريد المخزَّنة، ومراجعة جلسات Auth Token النشطة لاكتشاف الجلسات المسروقة.
4. تطبيق CSP مشدَّد: فرض Content Security Policy على واجهة Zimbra لتقليل أثر أي حقن JavaScript مستقبلي حتى مع وجود ثغرات XSS غير معلنة.
5. عزل الخوادم: وضع خوادم Zimbra في شبكة DMZ معزولة عن نظم Core Banking، مع تطبيق Zero Trust Network Access على الواجهات الإدارية.
6. تدقيق الأطراف الثالثة: مطالبة كل مزوّد خدمة يستضيف بريداً للبنك بإثبات الترقيع كتابياً خلال 72 ساعة، وفق نموذج SAMA TPRM Attestation.
7. إبلاغ مركز الإبلاغ: رفع تقرير مبدئي إلى مركز إدارة الحوادث في البنك المركزي السعودي إذا تأكد استغلال الثغرة فعلياً.

الخلاصة

ثغرة CVE-2025-48700 ليست مجرد عيب XSS تقليدي، بل بوابة هادئة لاختراق صناديق البريد التنفيذية في القطاع المالي السعودي. الموعد النهائي الفيدرالي الأمريكي للترقيع كان 23 أبريل 2026، والمؤسسات المالية الخليجية لا تملك ترف التأخر أكثر من ذلك خاصة في ضوء تشديد SAMA لمتطلبات الكشف عن الحوادث.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وفحص بنية البريد الإلكتروني لديك لاكتشاف الثغرات الحرجة قبل أن تستغلها مجموعات التهديد.