CVE-2026-27681: ثغرة حقن SQL بدرجة 9.9 في SAP BPC وBW — تهديد مباشر لأنظمة التخطيط المالي في البنوك السعودية

كشف يوم التصحيح لشهر أبريل 2026 عن ثغرة حرجة للغاية في منتجي SAP Business Planning and Consolidation وSAP Business Warehouse، إذ تحمل الثغرة CVE-2026-27681 درجة CVSS بلغت 9.9 من 10 — وهي من أعلى الدرجات الممكنة في مقياس خطورة الثغرات. الأخطر من ذلك أن المهاجم لا يحتاج سوى إلى صلاحيات منخفضة لاستغلالها، مما يجعلها خطراً داهماً على كل مؤسسة مالية سعودية تعتمد SAP في عمليات التخطيط والتقرير المالي.

SAP في قلب البنية المالية السعودية

تعتمد غالبية البنوك وشركات التأمين وصناديق الاستثمار الخاضعة لرقابة SAMA على حلول SAP BPC وBW لإدارة التخطيط المالي، وإعداد التقارير التنظيمية، ودمج بيانات الفروع. هذه الأنظمة ليست مجرد أدوات محاسبية؛ إنها المستودع الذي يحتوي على بيانات الميزانيات والتوقعات والتسويات المالية المرفوعة للجهات الرقابية. ثغرة بهذا المستوى في هذا النوع من الأنظمة تعني أن المهاجم يمكنه الوصول إلى بيانات مالية حساسة لم تُصمَّم يوماً للخروج خارج الشبكة الداخلية.

التفاصيل التقنية: كيف تعمل الثغرة

تكمن الثغرة في برنامج ABAP خاص بوحدة تحميل الملفات داخل BPC، حيث تفتقر آلية التحقق من الصلاحيات إلى الصرامة الكافية. يستطيع مستخدم ذو صلاحيات منخفضة رفع ملف يحتوي على عبارات SQL مُصاغة بعناية، يقوم النظام بتنفيذها مباشرة دون تصفية كافية. الإصدارات المتأثرة تشمل HANABPC 810 وBPC4HANA 300 من جانب BPC، وإصدارات SAP_BW من 750 حتى 758 وكذلك 816 من جانب BW. المشكلة ليست مجرد قراءة البيانات — بل تمتد إلى التعديل والحذف والتلاعب الكامل بمحتوى قاعدة البيانات عبر الشبكة دون الحاجة إلى أي تفاعل من المستخدم.

سيناريوهات الاستغلال الأكثر خطورة

من الناحية العملية، يواجه فريق الأمن ثلاثة سيناريوهات رئيسية: الأول هو الاستخراج الصامت للبيانات، حيث يسحب المهاجم تقارير التخطيط المالي والميزانيات وبيانات العملاء دون ترك أثر واضح في سجلات التطبيق. الثاني هو التلاعب بالأرقام الإجمالية في تقارير الربحية أو مؤشرات السيولة قبيل رفعها للجهات الرقابية — وهو نوع من الهجمات يصعب اكتشافه إذا افتقر النظام إلى آليات تدقيق على مستوى قاعدة البيانات. الثالث هو هجمات الاستنزاف عبر حذف جداول بيانات حرجة أو تشفيرها في إطار هجمات فدية مستهدفة.

الأثر على الامتثال التنظيمي: SAMA وNCA وPDPL

تُلزم الضوابط السيبرانية لـ SAMA (CSCC) المؤسسات المالية بتطبيق إدارة صارمة للثغرات وتصحيح أي ثغرة بدرجة حرجة خلال فترات زمنية محددة. ثغرة بدرجة 9.9 تقع بوضوح في خانة الأولوية القصوى. من ناحية NCA ECC، يستدعي وصول مستخدم داخلي إلى بيانات مالية حساسة خارج نطاق صلاحياته تفعيل إجراءات اختراق فوري وبلاغ إلى هيئة الأمن السيبراني. أما على صعيد نظام PDPL، فأي استخراج لبيانات العملاء المالية يُصنَّف اختراقاً للبيانات الشخصية ويُفضي إلى التزامات قانونية بالإبلاغ والتبعات المرتبطة بها. باختصار: التأخر في التصحيح لا يُشكِّل خطراً تقنياً فحسب، بل يُعرِّض المؤسسة لعواقب رقابية مباشرة.

التوصيات والخطوات العملية

1. تطبيق SAP Security Note #3719353 فوراً: هذا هو التصحيح الرسمي الصادر في إطار يوم التصحيح لأبريل 2026. يُوقف التصحيح تنفيذ الكود القابل للتشغيل داخل البرنامج المتأثر. تأكد من تطبيقه على جميع بيئات الإنتاج والاختبار.
2. مراجعة صلاحيات المستخدمين على وحدة تحميل الملفات: حدد فوراً من يمتلك صلاحية الوصول إلى وظائف رفع الملفات في BPC وBW، وقلّص القائمة إلى الحد الأدنى الضروري وفق مبدأ الحد الأدنى من الامتيازات.
3. مراجعة سجلات التدقيق بأثر رجعي: ابحث في سجلات SAP SM20 وST05 عن أي محاولات رفع ملفات غير معتادة خلال الأشهر الثلاثة الماضية، مع التركيز على الحسابات ذات الصلاحيات المنخفضة.
4. تفعيل مراقبة قاعدة البيانات على مستوى SQL: إذا كانت بيئتك تعمل على HANA أو SQL Server، فعّل تسجيل الاستعلامات غير المعتادة والكميات الكبيرة من القراءات أو التعديلات الآنية.
5. إجراء اختبار اختراق مخصص لـ SAP: تقييم عام لا يكفي — اطلب اختباراً موجهاً نحو طبقة ABAP وواجهات خدمات الويب الخاصة بـ SAP للتحقق من عدم وجود ثغرات مشابهة لم يُكشف عنها بعد.
6. تحديث خطة الاستجابة للحوادث لتشمل سيناريو SAP: كثير من خطط IR في القطاع المالي السعودي تُغطي أنظمة الشبكة والبريد الإلكتروني، لكنها تُغفل الأنظمة الجوهرية مثل SAP. ادمج سيناريو اختراق BPC/BW في تدريبات فريق الاستجابة.

الخلاصة

CVE-2026-27681 ليست مجرد ثغرة في برنامج مؤسسي — إنها ثغرة في الجهاز العصبي للتخطيط المالي لمئات المؤسسات. الحقيقة المزعجة هي أن كثيراً من فرق الأمن في القطاع المالي السعودي تُخصص جهودها لحماية البريد الإلكتروني والنقاط الطرفية، بينما تبقى أنظمة SAP في منطقة عمياء من برامج إدارة الثغرات. ثغرة بدرجة 9.9 تستدعي استجابة بمستوى طوارئ لا انتظاراً في قائمة التصحيحات الشهرية المعتادة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة وضع أنظمة SAP الجوهرية ومدى تطبيق التصحيحات الحرجة.