CVE-2026-21992: ثغرة Oracle Identity Manager الحرجة تُمكّن المهاجم من اختراق نظام الهويات البنكي دون كلمة مرور

في مارس 2026، أصدرت Oracle تحديثاً أمنياً طارئاً خارج جدولها الربعي المعتاد لمعالجة ثغرة بالغة الخطورة في Oracle Identity Manager (OIM) — وهو النظام الذي تعتمد عليه مئات المؤسسات المالية حول العالم لإدارة هويات موظفيها وعملائها وصلاحيات وصولهم. هذه الثغرة، المصنّفة CVE-2026-21992 بدرجة CVSS 9.8، تتيح لمهاجم غير مصادق تنفيذ كود خبيث عن بُعد على الخادم الذي يشغّل OIM — بمعنى آخر: من يمتلك وصولاً شبكياً للنظام يمكنه السيطرة الكاملة عليه دون الحاجة لأي بيانات اعتماد.

ما هو Oracle Identity Manager ولماذا يُشكّل هدفاً بالغ الأهمية؟

Oracle Identity Manager هو حجر الأساس في بنية إدارة الهويات والوصول (IAM) في كثير من البنوك والمؤسسات المالية الكبرى. يتحكم OIM في دورة حياة حسابات المستخدمين: من إنشاء الحساب عند التعيين، وتعديل الصلاحيات عند الترقية أو النقل، حتى إلغاء الوصول عند انتهاء الخدمة. يتكامل هذا النظام مع Active Directory وبوابات SAP وأنظمة Core Banking وتطبيقات SaaS الحرجة. وهذا ما يجعل اختراقه مختلفاً تماماً عن اختراق خادم عادي — فمن يسيطر على OIM يمتلك قدرة إنشاء حسابات امتياز جديدة أو تعديل صلاحيات الحسابات الموجودة أو حذف سجلات المراجعة دون أن تُطلق أي تنبيه فوري.

كيف تعمل الثغرة تقنياً؟

CVE-2026-21992 تقع في مكوّن REST WebServices لـ Oracle Identity Manager، وفي Oracle Web Services Manager في آنٍ معاً. المشكلة الجذرية هي غياب التحقق من المصادقة على نقاط نهاية API حرجة — وهو ما يُصنَّف تقنياً ضمن فئة CWE-306 (Missing Authentication for Critical Function). تؤثر الثغرة على الإصدارين 12.2.1.4.0 و14.1.2.1.0، وهما الإصداران الأكثر انتشاراً في البيئات المؤسسية الحالية. يستطيع المهاجم إرسال طلب HTTP مصاغ بعناية إلى نقطة نهاية REST المكشوفة دون تقديم أي بيانات اعتماد، مما يمنحه تنفيذ كود عشوائي بصلاحيات العملية على الخادم. لهذا السبب تحديداً أصدرت Oracle تحديثها خارج دورة Critical Patch Update الربعية — وهو قرار نادر لم تلجأ إليه شركة Oracle إلا مرة ثانية في تاريخ OIM.

التأثير على المؤسسات المالية السعودية وربطها بمتطلبات SAMA وNCA

يُعدّ Oracle Identity Manager من أكثر منصات IAM شيوعاً في البنوك والمؤسسات المالية الخاضعة لرقابة مؤسسة النقد العربي السعودي (SAMA). إطار SAMA CSCC في محوره الثالث (إدارة الهوية والوصول) يشترط صراحةً حماية أنظمة IAM من الوصول غير المصرح به وضمان تكاملية سجلات الأذونات. كما أن الضوابط الأساسية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA ECC) تُلزم المنظمات بتطبيق مبدأ الحد الأدنى من الصلاحيات وتوثيق جميع التغييرات على حسابات الوصول المميز. اختراق OIM يعني انتهاكاً مباشراً لهذه المتطلبات، ويضع المؤسسة في مواجهة مخاطر تنظيمية جسيمة فضلاً عن المخاطر التشغيلية. وفي سياق نظام حماية البيانات الشخصية (PDPL) السعودي، فإن أي وصول غير مشروع إلى بيانات هويات الموظفين أو العملاء المخزّنة في OIM يُشكّل انتهاكاً صريحاً يستوجب الإبلاغ.

التوصيات والخطوات العملية الفورية

1. تطبيق التحديث الأمني فوراً: راجع تنبيه Oracle الأمني الرسمي وطبّق الرقعة المقدّمة لـ CVE-2026-21992 على جميع بيئات OIM (الإنتاج والاختبار والتطوير) — لا تؤجّل لجلسة تغيير أسبوعية قياسية، هذه الثغرة تستحق نافذة تغيير طارئة.
2. التحقق من مؤشرات الاختراق الحالية: قبل التحديث وبعده، راجع سجلات Oracle Access Manager وOIM Server logs بحثاً عن طلبات REST غير مصادق عليها لنقاط نهاية حرجة، خاصة في الفترة الممتدة من مارس حتى اليوم. ابحث عن إنشاء حسابات جديدة أو تعديل صلاحيات غير مبرر.
3. عزل منفذ OIM REST عن الإنترنت المباشر: إذا كانت واجهات REST API لـ OIM مكشوفة خارج الشبكة الداخلية، قيّد الوصول إليها عبر WAF أو قاعدة جدار ناري فورية ريثما يُطبَّق التحديث.
4. مراجعة جميع التغييرات على حسابات الامتياز: نفّذ مراجعة شاملة لجميع الحسابات التي مُنحت أدوار مسؤول النظام أو أذونات IAM Admin خلال آخر 45 يوماً. أي حساب لا يمكن تفسير إنشاؤه بطلب شرعي موثّق يجب تعطيله فوراً ورفعه للتحقيق.
5. تحديث سيناريوهات اختبار الاختراق: تأكد من أن نطاق اختبار الاختراق الدوري المنصوص عليه في SAMA CSCC يشمل فحص مكوّنات REST API لأنظمة IAM، بما فيها OIM وOracle Web Services Manager.

الخلاصة

CVE-2026-21992 ليست مجرد ثغرة في تطبيق — إنها ثغرة في العمود الفقري لنظام إدارة الهويات الذي تبني عليه المؤسسة المالية ثقتها بكل وصول رقمي داخلها. نظام OIM مُخترق يعني أن كل إجراء تحقق من الهوية قابل للتلاعب، وأن كل سجل مراجعة قابل للتعديل، وأن كل تقرير امتثال قابل للتشكيك. الاستجابة الفورية هنا ليست رفاهية بل التزام مباشر بمتطلبات SAMA CSCC وNCA ECC.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة تهيئة منصات IAM وOIM في بيئتك.