CVE-2026-24858: تجاوز SSO في FortiCloud يهدد جدران حماية بنوك SAMA السعودية

في عمليات استجابة حديثة، رصدت فرق الاستخبارات السيبرانية حسابات FortiCloud خبيثة تنشئ مدراء محليين على أجهزة FortiGate تابعة لعملاء آخرين دون أي اعتماد مشروع. الثغرة تحمل المعرّف CVE-2026-24858 بدرجة CVSS تبلغ 9.8، وتمسّ مباشرة العمود الفقري لشبكات البنوك السعودية الخاضعة لإشراف البنك المركزي السعودي (SAMA).

تشريح ثغرة CVE-2026-24858 في FortiCloud SSO

تُصنَّف الثغرة بأنها "تجاوز مصادقة عبر مسار أو قناة بديلة" (Authentication Bypass Using an Alternate Path) ضمن CWE-288. تسمح الثغرة لأي مهاجم يمتلك حساب FortiCloud وجهازاً مسجّلاً به بالولوج إلى أجهزة مسجلة في حسابات أخرى عند تفعيل ميزة FortiCloud SSO على الجهاز المستهدف. تطال الثغرة منظومة كاملة من المنتجات: FortiOS و FortiManager و FortiAnalyzer و FortiProxy و FortiWeb، أي معظم البنية التحتية الأمنية المستخدمة في البنوك السعودية.

الخطر الأكبر أن المهاجم لا يحتاج إلى استغلال ثغرة تنفيذ تعليمات برمجية أو رفع امتياز محلي؛ يكفي وجود قناة SSO مفعّلة لتمرير جلسة موثوقة من بيئة سحابية إلى جدار حماية على المحيط. هذا يكسر افتراض الثقة بين Fortinet السحابة والأجهزة المحلية، وهو افتراض بُنيت عليه استراتيجيات تشغيل عشرات البنوك في المنطقة.

كيف يستغل المهاجمون الثغرة في الميدان؟

وفق رصد Fortinet، بدأت عمليات الاستغلال في 21 يناير 2026 عندما أبلغ عملاء عن ظهور حسابات admin محلية جديدة في أجهزة FortiGate لم ينشئها أحد من فريقهم. حظرت Fortinet حسابي FortiCloud الخبيثين في 22 يناير، لكن تحليلات ما بعد الحادث كشفت أن المهاجمين كانوا يستخدمون نفس النمط لتجاوز رقعة CVE-2025-59718 السابقة الصادرة في ديسمبر 2025، مما يشير إلى أن مجموعات تهديد متخصصة تتبع أجهزة Fortinet السحابية باستمرار.

سيناريو الهجوم النموذجي: إنشاء حساب admin خفي، تعطيل تسجيل الجلسات، استخراج قواعد NAT و VPN، ثم زرع بيانات اعتماد VPN لاستخدامها لاحقاً في حركة جانبية داخل الشبكة الداخلية للبنك. هذه التقنية تتجاوز معظم آليات MFA على البوابات لأن الحساب يُنشَأ مباشرة على الجهاز ويتجاوز سياسات IAM المركزية.

التأثير على المؤسسات المالية السعودية الخاضعة لـ SAMA

FortiGate هو الجدار الناري الأكثر انتشاراً في القطاع المالي السعودي، ويظهر في معظم تصاميم بنوك المستوى 1 و 2 إما كجدار محيط، أو كبوابة فروع، أو كحل SD-WAN لنقاط البيع. ثغرة CVE-2026-24858 تمسّ مباشرة عدة ضوابط في إطار SAMA Cyber Security Framework ومتطلبات NCA ECC-1:2018:

• ضابط SAMA 3.3.5 (Identity & Access Management): الثغرة تتجاوز هوية المسؤول وتنشئ امتيازاً إدارياً خارج دورة الاعتماد المعتمدة.
• ضابط SAMA 3.3.14 (Cryptography): اختراق جهاز الحماية يكشف مفاتيح IPsec و TLS المستخدمة لربط الفروع.
• ضابط NCA ECC 2-3-1 (Asset Management): أجهزة Fortinet المسجلة في FortiCloud تصبح غير موثوقة حتى التحقق من تكامل الإعدادات.
• متطلب PCI-DSS 1.2.1: فقدان السيطرة على ACL الجدار الناري يعني فقداً مباشراً للتقسيم بين بيئة بطاقات الدفع وبيئة الشركات.

الأخطر أن FortiCloud SSO تُفعَّل غالباً افتراضياً عند استخدام FortiManager المركزي، وهي الطريقة التي تفضّلها فرق العمليات الأمنية في البنوك لإدارة عشرات الفروع.

التوصيات والخطوات العملية للاحتواء

1. الترقية الفورية إلى إصدارات FortiOS المُصلَحة حسب جدول النشرة FG-IR-26-006 الصادرة عن Fortinet، مع التحقق من توقيع الحزمة قبل التطبيق.
2. تعطيل FortiCloud SSO مؤقتاً على الأجهزة الحرجة في المحيط وأجهزة فروع نقاط البيع حتى اكتمال التحقق من سلامة قائمة المسؤولين.
3. تنفيذ diagnose sys admin list ومراجعة كل حساب admin محلي تم إنشاؤه بعد 1 يناير 2026؛ أي حساب لم يُوثَّق عبر تذكرة تغيير معتمدة يجب اعتباره مؤشراً لاختراق محتمل (IoC).
4. تدوير جميع شهادات SSL VPN ومفاتيح IPsec PSK المستخدمة على الأجهزة المتأثرة، وفرض دورة كاملة لإعادة المصادقة على المستخدمين البعيدين.
5. تفعيل تسجيل تدقيق كامل (audit log) ودفعه إلى SIEM مع قواعد كشف خاصة بإنشاء حسابات admin خارج نوافذ التغيير المعتمدة من CAB.
6. تنفيذ مراجعة تكوين شاملة (configuration baseline review) وفق قالب SAMA لمراجعات ما بعد الحادث، وتوثيق النتائج كدليل امتثال للضابط 3.3.15.
7. ضمّ مؤشرات الاختراق (IoCs) المنشورة من قبل Fortinet إلى تغذية Threat Intelligence الخاصة بمركز العمليات الأمنية، وربطها بسلوك FortiAnalyzer لرصد الجلسات الشاذة.

الخلاصة

CVE-2026-24858 ليست مجرد ثغرة في منتج Fortinet — إنها اختبار مباشر لنضج عمليات إدارة الهوية في طبقة المحيط لدى البنوك السعودية. المؤسسات التي تعتمد FortiCloud SSO لإدارة عشرات الأجهزة عن بُعد عليها أن تتعامل مع هذه الثغرة كحادث محتمل لا كمجرد تصحيح روتيني، وأن تُدخِل المراجعة في تقرير الامتثال الربع سنوي إلى SAMA.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة فنية لإعدادات FortiGate وتحليل تعرض FortiCloud SSO في بيئتك.