CVE-2026-30893: ثغرة Wazuh الحرجة تحوّل SIEM بنوك SAMA إلى نقطة اختراق

كشف فريق Wazuh في 30 أبريل 2026 عن ثغرة حرجة بتصنيف CVSS 9.0 تحمل المعرّف CVE-2026-30893، تستهدف منصة Wazuh المعتمدة في كثير من مراكز عمليات الأمن (SOC) لدى المؤسسات المالية السعودية. المفارقة هنا أنّ الأداة التي يُفترض أن تكشف الاختراق أصبحت بنفسها وسيلةً للاختراق، وهو سيناريو يضرب جوهر متطلبات SAMA CSCC في موثوقية أنظمة الرصد.

تفاصيل ثغرة CVE-2026-30893 في Wazuh

تكمن الثغرة في وظيفة decompress_files() داخل آلية مزامنة الكلاستر في Wazuh، إذ تُمرَّر مسارات الملفات التي يتحكم بها المهاجم مباشرةً إلى os.path.join() دون أي تحقق من احتواء المسار أو تطبيع السلسلة. وهذا يسمح لعقدة كلاستر موثوقة وقد جرى تسوّيتها بصياغة أرشيف يحتوي على مسارات اجتيازية تكتب ملفات في مواقع عشوائية على بقية العقد. تصيب الثغرة الإصدارات من 4.4.0 وحتى ما قبل 4.14.4، وقد رُقِّعت في الإصدار 4.14.4 الذي أصدره المشروع كأولوية حرجة.

من Path Traversal إلى تنفيذ أوامر بصلاحيات النظام

الخطورة لا تتوقف عند كتابة ملف خارج الدليل المقصود. يستطيع المهاجم الكتابة فوق وحدات بايثون التي تحمّلها مكوّنات Wazuh عند التشغيل، مما يحوّل الثغرة إلى تنفيذ أوامر عن بُعد (RCE) في سياق خدمة Wazuh. وفي البيئات التي تُشغَّل فيها خدمة الكلاستر بصلاحيات مرتفعة، يقفز المهاجم إلى التحكم على مستوى النظام بأكمله. ولأنّ الكلاستر مصمَّم على افتراض أن العقد تثق ببعضها، فإنّ تسوية عقدة واحدة تتحول إلى انتشار جانبي صامت داخل البنية التحتية للرصد.

التأثير على المؤسسات المالية السعودية الخاضعة لـ SAMA

تعتمد بنوك ومؤسسات الدفع المرخّصة من البنك المركزي السعودي على SIEM لمراقبة المعاملات وكشف الاحتيال والاستجابة للحوادث. ضوابط SAMA CSCC في النطاق الفرعي 3.3.14 (Cybersecurity Event Logs and Audit Trails Management) و3.3.15 (Cybersecurity Incident Management) تفترض أنّ منصة الرصد نفسها سليمة. اختراق Wazuh يعني أنّ المهاجم قادر على حقن أو حذف سجلات التدقيق، وكسر سلسلة الأدلة المطلوبة عند الإبلاغ لإدارة الجرائم المعلوماتية. كذلك يتقاطع الموضوع مع NCA ECC الضابط 2-12 (Cybersecurity Event Logs and Monitoring Management)، وضوابط PCI-DSS v4.0.1 رقم 10.7 الخاصة بسلامة سجلات الأمن. في حال تسرّب بيانات شخصية بسبب الثغرة، يدخل الحادث تحت طائلة نظام حماية البيانات الشخصية (PDPL) ولوائحه التنفيذية المعدَّلة.

التوصيات والخطوات العملية

1. الترقية الفورية إلى Wazuh 4.14.4 على جميع عقد الكلاستر، مع التحقق من توقيع الحزمة (SHA-256) وعدم الاكتفاء بالترقية على العقدة الرئيسية وحدها.
2. عزل اتصالات منفذ الكلاستر (1516/TCP افتراضياً) داخل شبكة إدارة منفصلة، وحصره على عناوين IP للعقد المعروفة فقط عبر جدار حماية مضيف وSecurity Group.
3. تدوير شهادات الكلاستر ومفاتيح cluster.key فور الترقية، باعتبار أنها قد تكون مكشوفة إن جرى استغلال سابق.
4. تشغيل خدمة Wazuh manager بمستخدم غير جذري، مع تطبيق AppArmor/SELinux لتقييد الوصول إلى مسارات النظام الحرجة.
5. مراجعة سجلات cluster.log وossec.log للفترة من 1 يناير 2026 حتى تاريخ الترقية بحثاً عن مؤشرات اختراق (IoCs): مزامنات غير معتادة، أحجام أرشيفات شاذة، أو ظهور ملفات بايثون مُعدَّلة.
6. تنفيذ تحقّق سلامة (file integrity check) خارج Wazuh نفسه على ملفات /var/ossec/framework/python/ عبر hashing مرجعي مستقل، لأن الاعتماد على FIM داخل المنصة المخترقة يُعدّ تضارباً منطقياً.
7. توثيق الحادث ورفع تقرير مبدئي إلى وحدة الأمن السيبراني في SAMA خلال 72 ساعة إن ثبت استغلال، التزاماً بمتطلبات الإبلاغ المنصوص عليها في إطار CSCC.
8. إدراج Wazuh ضمن سجل المخاطر التشغيلية (Operational Risk Register) كأصل بحساسية «Critical»، وإعادة تقييم التبعية على SIEM واحد دون نسخة احتياطية مستقلة.

الخلاصة

ثغرة CVE-2026-30893 درس قاسٍ لكل CISO سعودي يفترض أن منصات المراقبة مفتوحة المصدر هي خط دفاع لا يُمسّ. في الحقيقة، أي مكوّن في طبقة الأمن مرشّح لأن يكون نقطة الفشل التالية، والترقية الاستباقية وتطبيق مبدأ الثقة الصفرية حتى داخل بنية SOC نفسها لم يعدا اختياراً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، بما يشمل مراجعة بنية SIEM/SOC والتحقق من جاهزيتها لمواجهة ثغرات سلسلة الأدوات.