CVE-2026-20184: ثغرة Cisco Webex SSO تهدد هوية موظفي بنوك SAMA

أصدرت Cisco تنبيهاً حرجاً بشأن ثغرة CVE-2026-20184 بدرجة خطورة CVSS 9.8 في تكامل خدمة Single Sign-On مع Control Hub داخل منصة Cisco Webex. الثغرة تسمح لمهاجم غير مُصادَق بانتحال شخصية أي مستخدم داخل الخدمة، وهو سيناريو كارثي للبنوك السعودية التي تعتمد على Webex في الاجتماعات الإدارية وتبادل المستندات الحساسة.

تفاصيل الثغرة CVE-2026-20184 وآلية الاستغلال

تقع الثغرة في الطريقة التي تتحقق بها Cisco Webex Services من شهادات الأمان أثناء مصافحة SSO مع Control Hub. يستطيع المهاجم الاتصال بنقطة نهاية الخدمة وتقديم رمز SAML مُصاغ بشكل خاص، فيقوم النظام بقبوله بسبب خلل في التحقق من الشهادة. النتيجة: المهاجم يحصل على جلسة شرعية باسم أي مستخدم مستهدف — بما في ذلك CISO أو رئيس الامتثال أو مدير المخاطر — دون الحاجة إلى كلمة المرور أو رمز MFA. الإصدارات المتأثرة تمتد من Cisco Webex 39.6 إلى 45.4، أي أن الانتشار واسع جداً في القطاع المالي.

لماذا لا توجد حلول بديلة (Workaround)؟

أكدت Cisco أنه لا يوجد حل مؤقت لهذه الثغرة، والمعالجة الوحيدة هي إعادة توليد شهادة SAML الخاصة بمزود الهوية (IdP) ورفعها يدوياً إلى Cisco Webex Control Hub. هذا يعني أن البنوك التي لم تتحرك بعد ما زالت مكشوفة بالكامل حتى لو كانت السحابة محدّثة من جانب Cisco. الإجراء يتطلب تنسيقاً بين فريق الهوية (IAM) وفريق التشغيل وفريق الامتثال، وهو ما يصعب تنفيذه خلال ساعات قليلة في بيئة بنكية مُنظمة.

التأثير على المؤسسات المالية السعودية

إطار SAMA CSCC في المجال 3.3.5 (Identity & Access Management) يلزم البنوك الخاضعة لرقابة البنك المركزي السعودي بضمان سلامة آليات المصادقة وعدم قابلية انتحال الهوية. كما يفرض NCA ECC ضابط 2-2-3-1 التحقق من شهادات SSO وحوكمة دورة حياتها. ثغرة CVE-2026-20184 تخرق هذين الضابطين مباشرة، وتعرّض البنك لمخالفة تنظيمية صريحة في حال وقوع حادثة. أضف إلى ذلك أن انتحال هوية موظف بنكي عبر Webex قد يُستخدم في هندسة اجتماعية متقدمة لتمرير أوامر تحويل احتيالية أو سرقة بيانات عملاء — وهو ما يُفعّل التزامات الإبلاغ خلال 72 ساعة وفق PDPL.

التوصيات والخطوات العملية لبنوك SAMA

1. اطلب من فريق IAM فوراً توليد شهادة SAML جديدة لمزود الهوية ورفعها إلى Cisco Webex Control Hub، مع توثيق التغيير في سجل التغييرات (Change Log).
2. راجع سجلات تسجيل الدخول إلى Webex خلال آخر 60 يوماً للبحث عن أنماط مشبوهة: تسجيلات دخول من جغرافيا غير معتادة، أو من أجهزة لم يسبق ربطها بالمستخدم.
3. فعّل سياسة Conditional Access تربط جلسات Webex بـ MFA إضافية وبشهادة جهاز موثوق (Device Certificate) لتقليل أثر أي تسرّب مستقبلي.
4. أبلغ فريق الاستجابة للحوادث (CIRT) لإدراج CVE-2026-20184 ضمن سيناريوهات Threat Hunting الأسبوعية، خصوصاً في حسابات المديرين التنفيذيين.
5. حدّث تقييم مخاطر الموردين (TPRM) ليشمل تتبع تنبيهات Cisco PSIRT تلقائياً، بما يتوافق مع متطلبات SAMA CSCC في الفصل الخاص بإدارة مخاطر الأطراف الثالثة.
6. راجع تكامل SSO مع باقي الخدمات السحابية (Microsoft 365، Salesforce، ServiceNow) للتأكد من عدم تكرار نمط التحقق الضعيف نفسه.

الخلاصة

ثغرة CVE-2026-20184 ليست مجرد عيب تقني في منصة اتصالات — بل هي اختبار حقيقي لجاهزية بنوك SAMA في إدارة هوية المستخدمين عبر السحابة. البنوك التي تتأخر في رفع شهادة SAML الجديدة تترك الباب مفتوحاً لانتحال صلاحيات تنفيذية، وهو سيناريو يُفعّل ضوابط الإبلاغ التنظيمي ويهدد سمعة المؤسسة في سوق محلية شديدة الحساسية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وفحص شامل لتكاملات SSO الخاصة بك.