CVE-2026-27681: ثغرة CVSS 9.9 في SAP BPC وBW تتيح حقن SQL في صميم بياناتك المالية

كشف يوم التحديثات الأمني لـ SAP في أبريل 2026 عن ثغرة بالغة الخطورة تحمل معرّف CVE-2026-27681 ودرجة CVSS تبلغ 9.9 من 10، تطال منظومتَي SAP Business Planning and Consolidation (BPC) وSAP Business Warehouse (BW). الثغرة تتيح لمستخدم ذي صلاحيات منخفضة تنفيذ أوامر SQL عشوائية على قواعد البيانات المالية الحساسة، مما يعرّض بيانات التخطيط المالي والتقارير التوحيدية في المؤسسات المالية السعودية لخطر مباشر وغير مسبوق.

تفاصيل الثغرة: حقن SQL عبر برنامج ABAP في SAP BPC

تكمن الثغرة CVE-2026-27681 في برنامج ABAP المرتبط بخدمات رفع الملفات في SAP BPC الإصدارين 10.1 و11.0، خاصةً في البيئات المرتبطة بـ Microsoft SQL Server. تتيح هذه الثغرة لأي مستخدم ذي صلاحيات منخفضة رفع ملف يتضمن أوامر SQL خبيثة يتم تنفيذها مباشرةً على قاعدة بيانات BW/BPC. وبحسب SAP Note 3719353، يمكن للمهاجم استغلال بعض خدمات الويب في BPC بمدخلات مصطنعة لحقن SQL خبيث دون الحاجة لصلاحيات مشرف النظام. وصف باحثو Horizon3.ai وZeroBot هذا السيناريو بأنه بالغ الخطورة نظرًا لانخفاض متطلبات الاستغلال في مقابل التأثير المدمر المحتمل على قواعد البيانات المالية الحيّة.

لماذا تُشكّل هذه الثغرة تهديدًا وجوديًا للبيانات المالية؟

SAP BPC وBW ليسا مجرد أنظمة برمجية عادية في المؤسسات المالية السعودية — بل هما العمود الفقري لعمليات التخطيط المالي والتوحيد المحاسبي وإعداد التقارير التنظيمية. يستخدمهما كبار البنوك وشركات التأمين وصناديق الاستثمار لإعداد تقاريرهم المرفوعة إلى SAMA والهيئة العامة للزكاة والضريبة والجمارك. استغلال ناجح لهذه الثغرة يمكن أن يُمكّن المهاجم من: سرقة بيانات مالية حساسة كالميزانيات والتوقعات والمراكز المالية، تعديل أرقام التقارير الموحّدة بصمت تام قبل رفعها للجهات الرقابية، حذف أو إفساد محتوى قاعدة البيانات بأثر رجعي يصعب اكتشافه، وزرع برمجيات خبيثة داخل منظومة SAP لتنفيذ هجمات مستقبلية.

التأثير على الامتثال لمتطلبات SAMA وNCA وPDPL

وفق إطار الأمن السيبراني لـ SAMA (CSCC)، يُلزَم كل بنك أو مؤسسة مالية بتطبيق منهجية إدارة الثغرات وفق جدول زمني محدد بناءً على درجة الخطورة — وثغرة بدرجة CVSS 9.9 تستوجب التصحيح خلال 72 ساعة كحد أقصى وفق معظم السياسات المعتمدة. كذلك، فإن أي تعديل خفي في البيانات المالية قد ينتهك المادة 6 من نظام مكافحة الجرائم المعلوماتية، فضلًا عن متطلبات الإبلاغ عن الحوادث في لائحة حماية البيانات الشخصية (PDPL) التي تُلزم بالإبلاغ خلال 72 ساعة من اكتشاف الاختراق. وتؤكد NCA ECC في ضوابط حوكمة البيانات ضرورة حماية الأنظمة الحيوية كـ SAP من أي تلاعب غير مصرح به أو تسريب للبيانات.

التوصيات والخطوات العملية الفورية

1. تطبيق SAP Note 3719353 فورًا: وجّه فريق BASIS أو مزوّد دعم SAP الخاص بك لتطبيق التصحيح على جميع بيئات BPC وBW الإنتاجية والاختبارية قبل منح أي وصول خارجي.
2. مراجعة سجلات رفع الملفات بأثر رجعي: تحقق من سجلات SM21 وST05 وDB02 بحثًا عن أي أنشطة غير معتادة في خدمات رفع الملفات خلال الأسابيع الأربعة الماضية، مع التركيز على الحسابات ذات الصلاحيات المنخفضة.
3. تقييد وصول الشبكة لخدمات BPC على الويب: فعّل قوائم بياض IP وحدّ من الوصول لخدمات الويب المتأثرة على مستوى جدار الحماية حتى تطبيق التصحيح، مع الحرص على عدم تعطيل العمليات التشغيلية الحيوية.
4. تشغيل فحص أمني شامل لـ SAP: استخدم SAP Security Optimizer أو ABAP Code Vulnerability Analyzer للكشف عن أي ثغرات مخفية في برامج ABAP المخصصة، ولا تكتفِ بمعالجة CVE-2026-27681 فقط.
5. تنشيط مراقبة قاعدة البيانات في الوقت الفعلي: فعّل SQL Server Audit أو SAP Audit Log لرصد أي أوامر SQL غير اعتيادية فور تنفيذها، مع ربط التنبيهات بنظام SIEM المؤسسي لاستجابة سريعة.

الخلاصة

تُذكّرنا CVE-2026-27681 أن منظومة SAP — رغم قوتها وانتشارها الواسع في القطاع المالي السعودي — ليست بمنأى عن التهديدات السيبرانية، بل إن طبيعتها المركزية وارتباطها المباشر بالبيانات المالية الحساسة يجعل استغلالها ضربةً في صميم قلب العمليات المالية والتقارير الرقابية. المؤسسات التي لم تُطبّق التصحيح بعد تواجه مخاطر تنظيمية وقانونية جسيمة، خاصةً في ظل متطلبات SAMA CSCC الصارمة لإدارة الثغرات وإعداد التقارير.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وتحديد مواطن الضعف في منظومة SAP لديك قبل أن يكتشفها المهاجمون.