CVE-2025-61882: ثغرة Oracle EBS صفرية تستغلها Cl0p ضد بنوك SAMA

كشفت Oracle عن ثغرة صفرية حرجة في منظومة Oracle E-Business Suite تحمل الرقم CVE-2025-61882 بدرجة CVSS 9.8، تُمكّن المهاجم من تنفيذ التعليمات عن بُعد دون مصادقة. ما يثير القلق ليس الثغرة نفسها فحسب، بل إن عصابة Cl0p للابتزاز الرقمي استغلتها كهجوم صفري لأكثر من ستة أسابيع قبل صدور الترقيع، واخترقت ما يقارب 100 مؤسسة كبرى عالمياً عبر منتج Oracle Concurrent Processing.

تفاصيل تقنية لثغرة CVE-2025-61882 في Oracle E-Business Suite

الثغرة موجودة في مكوّن Oracle Concurrent Processing داخل حزمة Oracle E-Business Suite، وتؤثر على الإصدارات من 12.2.3 حتى 12.2.14 ضمناً. لا تتطلب الثغرة مصادقة، ويمكن استغلالها عبر بروتوكول HTTP من الإنترنت، مما يجعل أي خادم EBS مكشوف للويب هدفاً مباشراً. أصدرت Oracle الترقيع كتحديث طارئ خارج جدول CPU الفصلي في 4 أكتوبر 2025، لكن الأدلة تشير إلى أن الاستغلال بدأ في 9 أغسطس 2025، أي قبل التصحيح بأكثر من ستة أسابيع.

حسب تحليل Google Threat Intelligence وRapid7 وTenable، تستخدم سلاسل الاستغلال طلبات HTTP مُعدّة لتمرير أوامر OS عبر مكوّنات معالجة الطلبات الموازية، ثم تُسقط أبواباً خلفية للوصول المستمر. الترقيع يتطلب أن يكون CPU أكتوبر 2023 مُطبّقاً مسبقاً كشرط أساسي، وهو عائق شائع لدى المؤسسات التي تتأخر في دورات التحديث.

حملة Cl0p للابتزاز: من الاختراق إلى الفدية

عصابة Cl0p لها سجل حافل في استغلال ثغرات منصات نقل الملفات وتطبيقات المؤسسات (MOVEit، GoAnywhere، Accellion سابقاً)، وانتقالها إلى Oracle EBS يُمثّل توسعاً نوعياً. أسلوب العمل ثابت: استغلال صامت، استخراج بيانات على مدى أسابيع، ثم رسائل ابتزاز تحدد مهلة قصيرة قبل النشر. في حالة Oracle EBS، بدأت موجة رسائل الابتزاز في 29 سبتمبر 2025، وضمّت ضحايا من قطاعات التعليم والطاقة والتجزئة في الولايات المتحدة وأوروبا.

الخطورة الإضافية أن Oracle EBS يحتوي عادةً على بيانات شديدة الحساسية: قوائم الرواتب، حسابات الموردين، الميزانيات، البيانات الضريبية، وسجلات الموارد البشرية. اختراق واحد قد يؤدي إلى تسريب آلاف السجلات الشخصية والمالية في آن واحد، وهو ما يجعل تكلفة الحادثة تتجاوز الفدية لتشمل غرامات PDPL وإخطارات SAMA الإلزامية.

التأثير على المؤسسات المالية السعودية

كثير من البنوك وشركات التأمين السعودية الخاضعة لرقابة SAMA تعتمد على Oracle E-Business Suite لإدارة الموارد البشرية والمالية والمشتريات، إما على البنية التحتية المحلية أو في بيئات Oracle Cloud Infrastructure. بموجب SAMA CSCC الضابط 3.3.10 (إدارة الثغرات) والضابط 3.3.13 (إدارة التصحيحات)، يجب على البنوك تطبيق التحديثات الحرجة خلال نوافذ زمنية مُحدّدة، وأي خادم EBS مكشوف غير مرقّع يُمثّل خرقاً مباشراً للامتثال.

يتقاطع هذا أيضاً مع متطلبات NCA ECC في الضابط 2-10 (إدارة الثغرات) والضابط 2-12 (الأمن السيبراني للأنظمة المهمة)، ومع نظام حماية البيانات الشخصية PDPL الذي يُلزم بإخطار الجهات المختصة خلال 72 ساعة من اكتشاف خرق يمس بيانات شخصية. بالنسبة للبنوك التي تخزن بيانات بطاقات الدفع في أنظمة EBS مرتبطة، فإن متطلبات PCI-DSS 4.0 تضيف طبقة إلزام إضافية للترقيع السريع وفصل الشبكات.

التوصيات والخطوات العملية لبنوك SAMA

1. التحقق الفوري من إصدار EBS: راجع جميع نسخ Oracle E-Business Suite المُشغّلة وحدد إن كانت ضمن النطاق المتأثر (12.2.3 إلى 12.2.14)، مع التأكد من تطبيق CPU أكتوبر 2023 كمتطلب أساسي قبل الترقيع.
2. تطبيق التصحيح الطارئ: ثبّت تحديث Oracle Security Alert الصادر في 4 أكتوبر 2025 لـ CVE-2025-61882 على جميع البيئات، بدءاً بالإنتاج ثم الاختبار، مع التحقق من سلامة الخدمات بعد التطبيق.
3. عزل واجهات EBS عن الإنترنت: أي خادم EBS لا يجب أن يكون مكشوفاً مباشرة على الإنترنت. استخدم WAF، VPN، أو Zero Trust Network Access لتقييد الوصول إلى الموظفين والشركاء المعتمدين فقط.
4. البحث عن مؤشرات اختراق: راجع سجلات Oracle Concurrent Processing وHTTP access logs بحثاً عن طلبات شاذة، إنشاء وظائف concurrent غير معتادة، أو اتصالات صادرة إلى نطاقات Cl0p المعروفة. استخدم قواعد YARA المنشورة من قِبل Mandiant وRapid7.
5. تفعيل المراقبة المتقدمة: ادمج سجلات EBS مع منصة SIEM لدى SOC، وفعّل تنبيهات سلوكية للأوامر الصادرة من حسابات النظام، وحركة الملفات الكبيرة الخارجة. هذا يحقق متطلب SAMA CSCC 3.3.16 (المراقبة الأمنية).
6. تقييم تأثير سلسلة التوريد: إذا كان لديك مزودون يستضيفون EBS بالنيابة، اطلب منهم تأكيداً خطياً بأن الترقيع طُبّق وأن لا مؤشرات اختراق وفق SAMA CSCC 4.1 (إدارة مخاطر الطرف الثالث).
7. اختبار خطة الاستجابة لحوادث الفدية: أجرِ تمريناً افتراضياً يحاكي ابتزاز Cl0p، شاملاً قنوات الاتصال مع SAMA SOC وNCA، وإجراءات إخطار أصحاب البيانات وفق PDPL.

الخلاصة

ثغرة CVE-2025-61882 ليست مجرد تصحيح في تذكرة دعم — إنها تذكير بأن منصات ERP المؤسسية أصبحت هدفاً استراتيجياً لعصابات الابتزاز، وأن أي تأخير في الترقيع يفتح نافذة استغلال قد تستمر أسابيع دون اكتشاف. بنوك SAMA التي لم تُجرِ مسحاً شاملاً لأنظمة Oracle EBS لديها خلال الأيام الماضية تواجه مخاطر امتثال وتشغيل مزدوجة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة بيئات Oracle EBS واكتشاف مؤشرات اختراق Cl0p.