CVE-2026-0625: ثغرة DNSChanger في موجهات D-Link المنتهية تهدد فروع بنوك SAMA

كشفت VulnCheck عن ثغرة حرجة بدرجة CVSS 9.3 في موجهات D-Link DSL القديمة تحمل المعرّف CVE-2026-0625، تتيح حقن أوامر عبر نقطة النهاية dnscfg.cgi دون مصادقة. الأخطر أن Shadowserver Foundation رصدت أول استغلال لها في 27 نوفمبر 2025 — أي قبل ستة أشهر من الإفصاح العلني — ضمن حملة DNSChanger تستهدف تحويل ضحايا غير مدركين إلى بنية تحتية خبيثة. الموجهات المتأثرة بلغت نهاية عمرها التشغيلي قبل أكثر من خمس سنوات، ولن تحصل على أي ترقيع.

تشريح ثغرة DNSChanger في D-Link DSL

الخلل من نوع Command Injection داخل واجهة dnscfg.cgi المسؤولة عن إعدادات خوادم DNS. تفشل البرمجة الثابتة (Firmware) في التحقق من مدخلات المستخدم قبل تمريرها إلى المُفسِّر، فيستطيع المهاجم إرسال إعدادات DNS تتضمن أوامر قشرة (shell) تُنفَّذ بصلاحيات root. الموديلات المتأثرة تشمل DSL-2740R، DSL-2640B، DSL-2780B، وDSL-526B بإصدارات Firmware من 2016 إلى 2019.

الاستغلال لا يحتاج إلى أي بيانات اعتماد، ويمنح المهاجم قدرتين خطيرتين: تعديل خادم DNS الافتراضي للموجه (DNS Hijacking) لإعادة توجيه كل حركة المرور الصادرة، وتنفيذ تعليمات عن بُعد لتثبيت برمجيات IoT خبيثة من عائلة Mirai أو Mozi. الموقف الرسمي لـ D-Link واضح: استبدال الجهاز فوراً، إذ لا توجد ولن تصدر أي رقعة.

لماذا هذا الموضوع حساس للقطاع المالي السعودي؟

قد يبدو الخبر بعيداً عن البنوك، لكن سطح الهجوم يمتد عبر ثلاث طبقات يجب على كل CISO سعودي تقييمها:

الأولى: الفروع الإقليمية والصرافات الآلية (ATMs) في المناطق النائية التي تعتمد أحياناً على روابط DSL احتياطية مع موجهات قديمة لم تُدرَج في سجل الأصول الرسمي. الثانية: عمل الموظفين عن بُعد عبر شبكات منزلية تحتوي موجهات DSL منتهية الدعم، ما يجعل بيانات اعتماد VPN عرضة لاعتراض DNS قبل أن تصل إلى نفق التشفير. الثالثة: مزوّدو خدمات الطرف الثالث (TPRM) مثل شركات النقل النقدي ومراكز الاتصال التي تربطها وصلات DSL بمنصة البنك.

التأثير على المؤسسات المالية السعودية وضوابط SAMA

اختطاف DNS على بوابة فرع واحد يفتح طريقاً مباشراً لهجمات Adversary-in-the-Middle ضد بوابة الإنترنت البنكي للعملاء، ويُلوِّث استعلامات DNS الخاصة بمنصات SWIFT وApplication Programming Interface (API) للمدفوعات. هذا الوضع يخالف عدة ضوابط:

1. SAMA CSCC 3.2.4 (Asset Management): وجود أجهزة شبكية غير موثقة أو مهجورة يخل بمبدأ الجرد الكامل المُلزِم.
2. SAMA CSCC 3.3.7 (Network Security): فشل في تطبيق ضوابط Defense-in-Depth حول نقاط دخول الفروع.
3. NCA ECC ضابط 2-5-3: غياب إدارة دورة حياة الأنظمة، خاصة المرحلة Decommissioning.
4. PDPL المادة 21: تسريب بيانات العملاء الناتج عن إعادة توجيه DNS يستوجب إبلاغ سدايا خلال 72 ساعة.
5. PCI-DSS 4.0.1 المتطلب 6.3.3: منع تشغيل برامج لا تتلقى تحديثات أمنية في بيئة بيانات حاملي البطاقات.

التوصيات والخطوات العملية الفورية

1. جرد طارئ للموجهات: أصدر استعلام Discovery شاملاً عبر SNMPv3 وnmap للكشف عن أي موجه D-Link DSL في الشبكات الداخلية وفروع المسؤولية، وقارنه بسجل CMDB الرسمي.
2. عزل فوري قبل الاستبدال: ضع الأجهزة المكتشفة في VLAN معزولة دون مسار خروج إلى الإنترنت، أو افصل المنفذ WAN حتى وصول البديل.
3. الاستبدال بأجهزة مدعومة: اعتمد موجهات من فئة Enterprise مع MFA إلزامي على واجهة الإدارة، ودعم تحديثات Firmware موقّعة.
4. تطبيق DNS Sinkholing: فعّل قواعد DNS Filtering عبر منصات مثل Cisco Umbrella أو Cloudflare Gateway لرصد أي استعلام يخرج إلى خوادم DNS غير معتمدة.
5. سياسة BYOD صارمة: اشترط على الموظفين العاملين عن بُعد تشغيل VPN دائم (Always-On) مع تثبيت DNS عبر HTTPS (DoH) لتجاوز أي اختطاف على شبكة منزلية.
6. تحديث استبيان TPRM: أضف بنداً صريحاً يلزم الموردين بالإفصاح عن أي معدات شبكية بلغت EoL خلال 12 شهراً، وفق NCA ECC 4-1.
7. صيد التهديدات: ابحث في سجلات الـ Proxy عن استعلامات DNS غير معتادة، وعن اتصالات بـ IPs مرتبطة ببنية DNSChanger التحتية المنشورة في تقارير VulnCheck.

الخلاصة

ثغرة CVE-2026-0625 درس تذكيري بأن أكبر الأخطار لا تأتي دائماً من تقنيات حديثة، بل من معدات نسيها الجميع. مدة الاستغلال الصامت (ستة أشهر) تكشف فجوة في قدرات الرؤية لدى كثير من المؤسسات، وأن إدارة الأصول ودورة حياة الأجهزة ليست متطلباً إدارياً بل خط دفاع تشغيلي مباشر. بنوك SAMA المؤهَّلة على مستوى نضج 4 لا تستطيع أن تترك أي D-Link DSL يعمل في شبكتها بعد اليوم.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، ومراجعة سريعة لمخزون الأجهزة الشبكية المنتهية الدعم في فروعك وشبكات مورديك.