CVE-2026-24858: تجاوز مصادقة FortiCloud SSO يهدد بنوك SAMA

أعلنت Fortinet عن ثغرة حرجة في FortiCloud SSO تحمل المعرف CVE-2026-24858 بدرجة خطورة CVSS 9.4، تسمح لمهاجم يمتلك حساب FortiCloud بتسجيل الدخول إلى أجهزة مسجلة لمستخدمين آخرين دون امتلاك بيانات اعتماد صحيحة. أُضيفت الثغرة إلى كتالوج CISA KEV بعد رصد استغلال نشط في البرية، مما يضع البنوك السعودية المعتمدة على منظومة Fortinet أمام مخاطر فورية على البنية التحتية الحدودية.

تشريح ثغرة تجاوز مصادقة FortiCloud SSO

تنتمي CVE-2026-24858 إلى فئة CWE-288 (تجاوز المصادقة عبر مسار بديل)، وتؤثر على FortiOS وFortiManager وFortiAnalyzer وFortiProxy وFortiWeb عند تفعيل خاصية FortiCloud SSO. تكمن المشكلة في أن آلية التحقق من الهوية تعتمد على ربط الجهاز بحساب FortiCloud دون التحقق الكافي من صلاحية المستخدم على الجهاز المستهدف. النتيجة: مهاجم يسجّل جهازاً وهمياً في حساب FortiCloud يستطيع الانتقال أفقياً إلى أجهزة الضحايا الأخرى المربوطة بنفس البنية السحابية، والحصول على صلاحيات إدارية كاملة.

الخطورة الإضافية تأتي من أن الهجوم لا يتطلب استغلال ثغرات شبكية تقليدية أو هندسة اجتماعية معقدة، بل يكفي امتلاك حساب FortiCloud صالح، وهو ما يفسّر سرعة استغلال الثغرة منذ الكشف عنها في يناير 2026.

الاستغلال الفعلي وتحرك CISA السريع

رصدت Fortinet حسابين خبيثين في FortiCloud استخدما هذا المسار للوصول إلى أجهزة عملاء حقيقيين، وقامت بحظرهما في 22 يناير 2026. في 26 يناير، عطّلت Fortinet خدمة FortiCloud SSO بالكامل لمدة 24 ساعة كإجراء طارئ، ثم أعادت تشغيلها مع منع تسجيل الدخول من الأجهزة التي تعمل بإصدارات غير مُحدَّثة. أضافت CISA الثغرة إلى كتالوج KEV في 27 يناير 2026 وألزمت الجهات الفيدرالية الأمريكية بترقيع الأنظمة خلال مهلة قصيرة.

هذا التسلسل الزمني يكشف نمطاً يجب على فِرق الأمن في البنوك السعودية إدراكه: حتى الموردون الموثوقون قد يضطرون إلى تعطيل خدمات إنتاجية لاحتواء الاستغلال، وعلى المؤسسات المالية بناء سيناريوهات استمرارية أعمال تأخذ في الحسبان فقدان مفاجئ لمنظومة المصادقة الموحدة.

التأثير على المؤسسات المالية السعودية

تستخدم نسبة كبيرة من البنوك السعودية وشركات التمويل الخاضعة لرقابة البنك المركزي السعودي SAMA منظومة Fortinet كحل أمن محيط، ويعتمد كثير منها على FortiCloud SSO لإدارة فروع متعددة الجغرافيا من نقطة مركزية. استغلال CVE-2026-24858 يخالف مباشرة عدة ضوابط في إطار SAMA CSCC، أبرزها 3.3.5 (إدارة الهويات والوصول)، و3.3.14 (إدارة الثغرات)، و3.3.10 (أمن الشبكة).

على صعيد NCA ECC، تتقاطع الثغرة مع ضوابط 2-2-3 (إدارة الهوية والصلاحيات) و2-5-3 (حماية الشبكات)، فيما يفرض نظام حماية البيانات الشخصية PDPL إشعار الهيئة السعودية للبيانات والذكاء الاصطناعي SDAIA خلال 72 ساعة في حال تأثر بيانات شخصية للعملاء. أي تأخير في الترقيع قد يُعرّض البنك لغرامات تنظيمية إضافة إلى الأضرار التشغيلية والسمعة.

التوصيات والخطوات العملية

1. تحديث جميع أجهزة FortiOS وFortiManager وFortiAnalyzer وFortiProxy وFortiWeb إلى الإصدارات المُرقَّعة المحددة في نشرة Fortinet PSIRT FG-IR-26-060 خلال 48 ساعة كحد أقصى.
2. مراجعة سجلات FortiCloud وحسابات الإدارة لاكتشاف عمليات تسجيل دخول مشبوهة أو أجهزة جديدة مُسجلة دون تفويض، مع التركيز على الفترة من ديسمبر 2025 حتى تاريخ الترقيع.
3. تفعيل المصادقة متعددة العوامل MFA على جميع حسابات FortiCloud الإدارية، وتطبيق قائمة بيضاء لعناوين IP المسموح لها بالوصول إلى وحدة التحكم السحابية.
4. فصل بيئة الإنتاج عن بيئة الاختبار في FortiCloud، وإلغاء أي حسابات مشتركة بين بيئات مختلفة من البنك.
5. تشغيل عمليات بحث استباقي Threat Hunting باستخدام مؤشرات الاختراق IoCs المنشورة من Fortinet وArcticWolf وSocRadar، وربطها بسجلات SIEM المركزية.
6. توثيق عملية الاستجابة في سجل إدارة الثغرات وإرفاقها بتقرير الحوكمة الأمنية الدوري المُقدَّم لمجلس الإدارة وفق متطلبات SAMA CSCC الفصل الثاني.

الخلاصة

تُذكّر CVE-2026-24858 بأن مخاطر الموردين الأمنيين أنفسهم تظل من أكثر التهديدات قسوة على القطاع المالي، خاصة عندما تكون منظومة الدفاع الحدودية هي ذاتها سطح الهجوم. سرعة الترقيع، ومراقبة سجلات FortiCloud، وفرض MFA الإلزامي، هي العناصر الثلاثة التي تفصل بين بنك مُستعد وآخر مكشوف.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.