CVE-2026-27681: ثغرة SQL حرجة في SAP BW/BPC تهدد التخطيط المالي لبنوك SAMA

أعلنت SAP خلال يوم تصحيحات الأمان لشهر أبريل 2026 عن معالجة ثغرة حقن SQL حرجة بمعرّف CVE-2026-27681 ودرجة CVSS تبلغ 9.9، تستهدف وحدة Business Warehouse (BW) ووحدة Business Planning and Consolidation (BPC) المستخدمتين على نطاق واسع في القطاع المالي السعودي. الثغرة تتيح للمهاجم استخراج بيانات حساسة، تعديل تقارير الإقفال، أو زرع تنفيذ تعسفي للأكواد داخل قلب أنظمة التخطيط المالي للمؤسسات.

تفاصيل ثغرة CVE-2026-27681 في SAP BW/BPC

الثغرة تكمن في وظيفة رفع الملفات داخل وحدتي BW وBPC، حيث يفشل التحقق من صحة المُدخلات قبل تمريرها إلى استعلامات قاعدة البيانات. هذا يسمح لمهاجم مصادَق عليه بمستوى صلاحيات منخفض بحقن استعلامات SQL خبيثة تصل إلى مخازن بيانات HANA أو Oracle خلف منصة BW. الحرج في هذه الثغرة هو أنها لا تتطلب صلاحيات إدارية، ويكفي حساب موظف داخلي أو مستشار خارجي لاستغلالها. SAP صنّفت الثغرة ضمن أعلى أولوية، ولم تعلن حتى الآن عن استغلال نشط في البرية، لكن تاريخ ثغرات SAP السابقة (مثل CVE-2025-31324 التي استغلتها مجموعات صينية) يجعل التحرك السريع ضرورة.

لماذا تمثّل هذه الثغرة خطراً وجودياً على البنوك السعودية

منصة SAP BW/BPC هي العمود الفقري للتخطيط المالي والإقفال الشهري والتوحيد المحاسبي في معظم البنوك والمصارف السعودية الكبرى وشركات التأمين الخاضعة لرقابة البنك المركزي. هذه الأنظمة تخزّن أرقام الميزانية، توقعات السيولة، نسب كفاية رأس المال، وبيانات Basel III/IV الحساسة. اختراق ناجح لـ BW/BPC يعني قدرة المهاجم على تعديل تقارير تُرفع إلى SAMA، تسريب بيانات تنافسية إلى أطراف خارجية، أو تنفيذ احتيال داخلي عبر تعديل مدخلات التخطيط قبل الإقفال. الأخطر أن أثر الثغرة يمتد إلى تكامل المنصة مع SAP S/4HANA و SAC و BPC Embedded.

التأثير على المؤسسات المالية السعودية والامتثال التنظيمي

تتقاطع هذه الثغرة مباشرة مع ثلاثة أُطر تنظيمية ملزمة في المملكة. أولاً، إطار SAMA CSCC في الضبط 3.3.5 (إدارة الثغرات) يفرض على البنوك تطبيق التصحيحات الحرجة خلال 30 يوماً كحد أقصى، مع إثبات الإغلاق عبر فحص ما بعد التصحيح. ثانياً، NCA ECC-2:2024 في الضبط 2-10 (إدارة التهديدات والثغرات) يتطلب عملية موثقة لتقييم ومعالجة الثغرات الحرجة بأولوية قصوى. ثالثاً، نظام حماية البيانات الشخصية PDPL يُلزم البنك بالإبلاغ خلال 72 ساعة في حال تأثرت بيانات شخصية. إغفال أي من هذه المتطلبات قد يؤدي إلى ملاحظات تفتيشية من SAMA أو غرامات من سدايا.

التوصيات والخطوات العملية لفرق SOC وGRC

1. تطبيق ملاحظة الأمان رقم 3617218 من SAP فوراً على كل بيئات BW و BPC الإنتاجية وغير الإنتاجية، مع إعطاء الأولوية للأنظمة المتصلة بالإنترنت أو بشبكات الموردين.
2. مراجعة سجلات SAP Audit Log و Security Audit Log (SM19/SM20) للأشهر الستة الماضية بحثاً عن أنماط رفع ملفات غير اعتيادية أو استعلامات SQL غير متوقعة على جداول /BIC/* و RSPLF*.
3. تفعيل Threat Detection for SAP أو ربط BW بمنصة SIEM (مثل QRadar أو Splunk) لاكتشاف محاولات الاستغلال المستقبلية، مع توقيعات ترصد سلاسل SQL في حقول الرفع.
4. تطبيق مبدأ أقل الصلاحيات على أدوار BW/BPC، وإلغاء صلاحيات S_RFC و S_TCODE الزائدة لكل المستخدمين غير الإداريين.
5. إجراء اختبار اختراق موجّه (focused pentest) على واجهات BW/BPC للتحقق من إغلاق الثغرة وعدم وجود استغلال خلفي.
6. تحديث سجل المخاطر (Risk Register) في GRC وتوثيق إجراءات المعالجة استعداداً لأي تفتيش من SAMA أو NCA.

الخلاصة

ثغرة CVE-2026-27681 ليست مجرد تصحيح اعتيادي ضمن دورة SAP الشهرية، بل اختبار حقيقي لجاهزية فرق الأمن السيبراني في البنوك السعودية على إغلاق نقاط الضعف في الأنظمة المالية الجوهرية ضمن المهلة التنظيمية. التأخير في المعالجة لا يُعرّض البيانات فحسب، بل يُعرّض المؤسسة لمخاطر امتثال ومخاطر سمعة قد تكلف أكثر بكثير من تكلفة التحديث.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومراجعة شاملة لمعالجة ثغرات SAP وفقاً لمتطلبات NCA ECC.