Interlock يستغل CVE-2026-20131 في Cisco FMC: تهديد صامت لبنوك SAMA

في سيناريو يكشف عمق التحدي الذي تواجهه فرق الأمن السيبراني السعودية، استغلت عصابة Interlock الإجرامية ثغرة CVE-2026-20131 في Cisco Secure Firewall Management Center كثغرة صفرية لمدة 36 يومًا قبل أن تُعلن Cisco عن وجودها. الثغرة، التي حصلت على أعلى درجة CVSS ممكنة (10.0)، تمنح المهاجم تنفيذ أوامر عن بُعد بصلاحيات root دون أي مصادقة، وتضرب القلب الإداري لمنظومة جدران الحماية في كثير من بنوك SAMA.

تشريح ثغرة CVE-2026-20131 في Cisco FMC

الثغرة من نوع Insecure Java Deserialization تقع في واجهة الإدارة عبر الويب لمنتج Cisco Secure Firewall Management Center، المعروف سابقًا باسم FirePOWER Management Center. يكفي أن يُرسل المهاجم كائن Java مُتسلسل (Serialized Object) مُصاغ بعناية إلى الواجهة الإدارية، ليحصل على تنفيذ أوامر بصلاحيات root على المُضيف. لا حاجة لاسم مستخدم، ولا كلمة مرور، ولا تفاعل من المسؤول. أعلنت Cisco عن الثغرة في 4 مارس 2026، ثم حدّثت تحذيرها في 18 مارس لتؤكد الاستغلال النشط في البرية، وأضافتها CISA إلى كتالوج KEV في اليوم التالي مباشرة.

عصابة Interlock والاستغلال السابق للإفصاح

الكشف الأخطر جاء من فرق Amazon Threat Intelligence عبر شبكة honeypots التابعة لـ MadPot، التي رصدت محاولات استغلال نشطة من قِبَل Interlock بدأت في 26 يناير 2026 — أي قبل 36 يومًا من إصدار التحديث الأمني الرسمي. هذه الفترة تكشف نمطًا متكررًا: عصابات الفدية الحديثة تشتري أو تُطوّر ثغرات صفرية وتستهدف بها أجهزة الحافة (Edge Appliances) لأنها تجمع بين سطح هجوم خارجي ومستوى وصول إداري عالٍ. Interlock نفسها معروفة باستهداف القطاع المالي والصحي، وتعتمد نموذج الابتزاز المزدوج (Double Extortion) مع منصة تسريب على شبكة Tor.

لماذا تُعدّ FMC هدفًا ثمينًا تحديدًا؟

منصة FMC ليست مجرد جهاز شبكي — بل هي عقل التحكم الذي يُدير سياسات جدران الحماية، ويُنسّق التحديثات، ويجمع بيانات الـ Telemetry من Cisco Firepower وASA. السيطرة على FMC تعني عمليًا السيطرة على كل قواعد الفلترة والتفتيش العميق للحزم. مهاجم بصلاحيات root على FMC يستطيع: تعطيل قواعد IDS/IPS، فتح قنوات Command and Control، إخفاء حركة الـ Exfiltration، ومسح السجلات قبل وصولها إلى SIEM. باختصار، اختراق FMC يُفكّك منظومة الدفاع من الداخل قبل أن يُلاحظ مركز العمليات الأمنية (SOC) أي مؤشر تسوية.

التأثير على المؤسسات المالية الخاضعة لـ SAMA

كثير من بنوك ومؤسسات التمويل في المملكة تعتمد Cisco Firepower وFMC كطبقة أساسية لحماية بيئات DMZ ومراكز البيانات وفروع الشبكة. تنص ضوابط SAMA Cyber Security Control Center (CSCC) في القسم 3.3.5 على ضرورة "إدارة الثغرات بفعالية وفي إطار زمني محدد بناءً على المخاطر"، فيما يُلزم القسم 3.3.7 المؤسسات بـ "الكشف الاستباقي عن التهديدات" بما يشمل أجهزة الأمن نفسها. كما تتطلب ضوابط NCA ECC في الضابط 2-10-3 إدارة موحدة للتصحيحات الأمنية مع أولوية للأنظمة الحرجة. اختراق FMC داخل بنك سعودي يعني انتهاكًا مباشرًا لهذه الضوابط، فضلًا عن مخاطر تتعلق بـ PDPL في حال تمكّن المهاجم من الوصول إلى بيانات العملاء عبر التحرك الجانبي.

التوصيات والخطوات العملية لفرق الأمن السعودية

1. التصحيح الفوري: ترقية جميع نسخ FMC إلى الإصدارات المُصحّحة 7.0.7، 7.2.10، 7.4.2.1، أو 7.6.0 وفق إرشاد Cisco الرسمي cisco-sa-fmc-rce-NKhnULJh. اعتبر أي نسخة سابقة على ذلك عرضة للاختراق.
2. عزل واجهة الإدارة: تأكد من أن الواجهة الإدارية لـ FMC غير مكشوفة على الإنترنت أبدًا، واحصرها في شبكة إدارة منفصلة (Out-of-Band Management) محمية بـ Bastion Host وMFA، وفق متطلبات SAMA CSCC 3.3.4.
3. الصيد الاستباقي للتهديدات: ابحث في سجلات FMC وnetflow عن طلبات POST غير معتادة على المسارات الإدارية، خصوصًا ابتداءً من 26 يناير 2026 وما بعده. راجع مؤشرات التسوية (IOCs) المنشورة من Zscaler ThreatLabz وCisco Talos المتعلقة بـ Interlock.
4. تدوير المفاتيح والشهادات: أي FMC يُشتبه في تعرضه للاختراق يجب اعتباره ملوثًا كليًا — تدوير شهادات SSL، مفاتيح SSH، حسابات الخدمة، وكلمات مرور المسؤولين، إضافة إلى مراجعة قواعد الجدار التي قد تكون عُدّلت خفية.
5. التكامل مع SOC وSIEM: فعّل إرسال سجلات FMC إلى SIEM المؤسسي بشكل مستمر مع قواعد كشف خاصة بـ Java deserialization patterns، وأنشئ Playbook في SOAR للاستجابة الآلية لمؤشرات Interlock.
6. تقييم سلسلة التوريد: تواصل مع مقدمي الخدمات المُدارة (MSSP) للتأكد من أن FMC الذي يُديرونه نيابة عنك مُحدّث، وراجع عقود مستوى الخدمة (SLA) الخاصة بإدارة التصحيحات.
7. محاكاة الهجوم: اطلب من فريق Red Team أو شريك متخصص محاكاة سيناريو اختراق FMC للتحقق من قدرة منظومة الكشف لديك على رصد العمليات اللاحقة للاستغلال.

الخلاصة

قصة CVE-2026-20131 ليست عن ثغرة عابرة، بل عن طبقة دفاع تحوّلت إلى نقطة دخول. حين يستغل المهاجم أداة الإدارة الأمنية ذاتها، تنهار ثقة فرق الأمن في تنبيهاتها. هذا النوع من الهجمات يفرض على بنوك SAMA مراجعة فلسفة الثقة الصفرية (Zero Trust) بحيث تشمل أجهزة الأمن نفسها، لا الأنظمة المحمية فقط. إدارة الثغرات في 2026 لم تعد ترفًا — بل خط الدفاع الأول والأخير قبل صفحة المفاوضات على شبكة Tor.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة وضع التصحيحات لأجهزة Cisco FMC وغيرها من البنية التحتية الحرجة في مؤسستك.