CVE-2026-25075: ثغرة في strongSwan تمنح المهاجم القدرة على إسقاط شبكة VPN البنكية دون أي مصادقة

في الثالث والعشرين من مارس 2026، كشف فريق strongSwan عن ثغرة خطيرة تحمل المعرف CVE-2026-25075، تؤثر على جميع إصدارات المنصة منذ 2010. ما يجعل هذه الثغرة استثنائية ليس فقط عمرها الذي يمتد لأكثر من 15 عاماً، بل حقيقة أن مهاجماً واحداً غير مصادَق عليه يستطيع من خلالها إيقاف خدمة VPN بالكامل بإرسال رسالة واحدة مشوَّهة — وهو ما يُشكّل خطراً مباشراً على استمرارية عمليات البنوك السعودية التي تعتمد على strongSwan لتأمين اتصالات الفروع ومراكز البيانات.

ما هي strongSwan ولماذا تستخدمها البنوك؟

strongSwan هي منصة VPN مفتوحة المصدر تعمل على بروتوكول IKEv2/IPsec، وتُستخدم على نطاق واسع في قطاع الخدمات المالية لأنها توفر تشفيراً قوياً بتكلفة تشغيلية منخفضة. كثير من البنوك السعودية تعتمدها لربط فروعها بمراكز البيانات المركزية، وكذلك لتأمين اتصالات الموظفين عن بُعد وبيئات العمل الهجينة. وفق تقديرات Bishop Fox التي اكتشفت الثغرة، تُنشَر strongSwan في آلاف المؤسسات المالية حول العالم، كثير منها في منطقة الخليج والشرق الأوسط.

المشكلة الجوهرية في هذه الثغرة أنها لا تستهدف طبقة التطبيق أو بيانات الاعتماد، بل تضرب مباشرة في قلب عملية التحقق من الهوية قبل أن تبدأ. وهذا ما يجعلها أشد خطورة من ثغرات كثيرة أخرى.

التفاصيل التقنية: Integer Underflow في EAP-TTLS

الثغرة تقع في إضافة eap-ttls المسؤولة عن معالجة بروتوكول EAP-TTLS — وهو البروتوكول الذي تستخدمه معظم البنوك لمصادقة الموظفين عبر RADIUS. السبب الجذري هو غياب التحقق من حقل الطول في ترويسة مزدوجات القيمة-السمة (AVPs) التي يُرسلها العميل أثناء مرحلة الاتصال. عندما يُرسل مهاجم قيمة طول أصغر من الحد المتوقع، يحدث ما يُعرف بـ Integer Underflow، مما يدفع daemon الخاص بـ IKE (charon) إلى طلب تخصيص كميات ضخمة من الذاكرة أو الوصول إلى مؤشر NULL — وكلا السيناريوهين يؤدي إلى انهيار الخدمة فوراً.

النقطة الأشد قسوة: لا يحتاج المهاجم إلى اجتياز أي مرحلة مصادقة. يكفيه أن يكون قادراً على الوصول إلى منفذ IKE (UDP 500 أو 4500) لإرسال حزمة واحدة مُحكمة الصياغة تُوقف الخدمة.

الإصدارات المتأثرة: جميع إصدارات strongSwan من 4.5.0 حتى 6.0.4. الإصلاح متاح في الإصدار 6.0.5 الصادر في نفس يوم الكشف عن الثغرة.

التأثير على المؤسسات المالية السعودية

وفق متطلبات SAMA CSCC (الإصدار الثاني، المجال الثالث: أمن الشبكات)، يُلزَم كل بنك بالحفاظ على استمرارية الاتصال الآمن بين مراكز البيانات والفروع. إيقاف خدمة VPN الرئيسية — حتى لو لم يُسرَب أي بيانات — يُعدّ انتهاكاً مباشراً لمتطلبات التوافر في الإطار التنظيمي. كذلك تشترط NCA ECC (ضابط ECC-1-5-2) توثيق آليات حماية الاتصالات الآمنة وإثبات مقاومتها للهجمات المعروفة.

الخطر العملي يتعدى التوقف التقني: بنك يفقد وصول فروعه إلى الأنظمة المركزية لمدة ساعتين في يوم عمل يتعرض لخسائر تشغيلية مباشرة وضغط تنظيمي من SAMA. وإذا استُخدم الهجوم كغطاء لعملية اختراق موازية — وهو نمط شائع في هجمات مجموعات APT — يتضاعف الضرر بشكل كبير.

الجدير بالذكر أن Shadowserver Foundation رصدت أكثر من 2,000 نسخة من strongSwan مكشوفة على الإنترنت العام، وأن بعض هذه النسخ موجودة في شبكات مؤسسات مالية في منطقة الخليج وفق تقارير Bishop Fox.

التوصيات والخطوات العملية

1. الترقية الفورية إلى strongSwan 6.0.5: هذه أولوية قصوى. إذا كانت سياسات إدارة التغيير لديك تتطلب اختبار الترقيات أولاً، ضع قاعدة جدار الحماية التالية كإجراء مؤقت.
2. تقييد الوصول إلى منفذي UDP 500 و4500: قيّد الوصول على مستوى الجدار الناري لقبول حزم IKE من نطاقات IP المصرح بها فقط. أي منفذ IKE مكشوف للإنترنت العام هو ناقل هجوم مباشر.
3. فحص الإصدار الفعلي المنشور: كثير من فرق العمليات لا تعرف الإصدار الدقيق لـ strongSwan المنشور في بيئات الإنتاج. نفّذ أمر strongswan version على جميع خوادم VPN الآن.
4. تفعيل مراقبة استهلاك ذاكرة charon daemon: قاعدة تنبيه بسيطة في SIEM تُنذرك عند ارتفاع غير طبيعي في استهلاك ذاكرة charon يمكن أن تكشف محاولة استغلال قبل اكتمالها.
5. التحقق من عدم استخدام EAP-TTLS في بيئات غير ضرورية: الأنظمة التي لا تستخدم EAP-TTLS للمصادقة غير معرضة للثغرة. راجع تكوين كل نقطة اتصال VPN لديك.
6. توثيق الإجراء في سجل إدارة التصحيح: SAMA CSCC والـ ISO 27001 يتطلبان توثيق استجابتك للثغرات الحرجة. احتفظ بسجل يُثبت أنك أجريت التقييم واتخذت الإجراء خلال الإطار الزمني المحدد.

الخلاصة

CVE-2026-25075 نموذج صارخ على مشكلة متجذرة في كثير من البنوك السعودية: الاعتماد على مكونات مفتوحة المصدر دون وجود برنامج منهجي لإدارة مخاطر المكتبات الخارجية. ثغرة عمرها 15 عاماً لم تُكتشف لأنها لم تكن مُبلَّغاً عنها — وليس لأنها لم تكن موجودة. فرق الأمن التي ستعتمد على "لم يستغلها أحد بعد" كمبرر للتأجيل تقامر بالاستمرارية التشغيلية لمؤسستها.

الضعف الحقيقي هنا ليس الكود، بل غياب الرؤية: كم مؤسسة مالية سعودية تعرف الإصدار الدقيق لكل مكون برمجي منشور في بيئة الإنتاج؟

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة إدارة الثغرات وتقييم مخاطر المكونات الخارجية.