ثغرة CVE-2026-32746 في Telnetd: تنفيذ أوامر بصلاحيات Root بدون مصادقة يهدد الأنظمة الصناعية والمالية

كشفت شركة Dream Security الإسرائيلية عن ثغرة حرجة في خدمة GNU InetUtils Telnetd تحمل المعرّف CVE-2026-32746 بتقييم CVSS 9.8 من 10، تتيح لمهاجم غير مصادق تنفيذ أوامر عشوائية بصلاحيات Root عبر المنفذ 23 — قبل ظهور شاشة تسجيل الدخول. هذه الثغرة تمثل تهديداً مباشراً للأنظمة الصناعية (ICS/OT) والخوادم القديمة التي لا تزال تعتمد على بروتوكول Telnet في المؤسسات المالية والحكومية.

التفاصيل التقنية لثغرة CVE-2026-32746

تكمن الثغرة في دالة add_slc() ضمن معالج LINEMODE Set Local Characters (SLC) في خدمة telnetd. تقوم هذه الدالة بكتابة 3 بايتات لكل SLC triplet في مخزن مؤقت ثابت الحجم (slcbuf) بسعة 108 بايت فقط، دون التحقق من وجود مساحة كافية. عند إرسال 35 triplet أو أكثر برموز وظيفية تتجاوز القيمة 18، يتجاوز الكتابة حدود المخزن المؤقت ويُفسد الذاكرة المجاورة — مما يفتح الباب لتنفيذ أوامر عشوائية.

الأخطر في هذه الثغرة أن الاستغلال يحدث أثناء مرحلة المصافحة الأولية (handshake) للاتصال، أي قبل أن يُطلب من المستخدم أي بيانات اعتماد. ولأن خدمة telnetd تعمل عادةً بصلاحيات root تحت inetd أو xinetd، فإن الاستغلال الناجح يمنح المهاجم سيطرة كاملة على الخادم المستهدف.

نطاق التعرض والإصدارات المتأثرة

تتأثر جميع إصدارات GNU InetUtils حتى الإصدار 2.7. وبحسب بيانات منصة Censys لإدارة سطح الهجوم، رُصد حوالي 3,362 خادماً مكشوفاً حتى 18 مارس 2026. وتتوزع هذه الخوادم عبر قطاعات متعددة تشمل البنية التحتية الصناعية، والمؤسسات الحكومية، وشبكات المؤسسات المالية التي لا تزال تستخدم بروتوكولات إدارة قديمة.

تم الإبلاغ عن الثغرة في 11 مارس 2026، وكان من المتوقع صدور تصحيح رسمي بحلول 1 أبريل 2026. لكن حتى الآن، لا يزال كثير من الأنظمة بدون تحديث، مما يجعلها عرضة للاستغلال الفعلي خاصةً مع توفر تفاصيل تقنية كافية لبناء أدوات استغلال.

لماذا Telnet لا يزال يعمل في البنية التحتية المالية؟

رغم أن بروتوكول Telnet يُعتبر منذ سنوات بروتوكولاً قديماً وغير آمن بسبب نقل البيانات بنص واضح (plaintext)، إلا أنه لا يزال موجوداً في بيئات عديدة. في القطاع المالي السعودي تحديداً، قد يتواجد Telnet في أجهزة الشبكات القديمة (switches, routers) التي لم تُحدَّث، وأنظمة الطباعة المركزية وأجهزة نقاط البيع (POS) القديمة، وأنظمة SCADA والتحكم الصناعي في مراكز البيانات، بالإضافة إلى بعض أنظمة المعالجة الدفعية (batch processing) على خوادم Unix القديمة.

هذا الواقع يجعل ثغرة CVE-2026-32746 أكثر خطورة مما تبدو عليه للوهلة الأولى، لأن الأنظمة المتأثرة غالباً ما تكون في مناطق شبكية حساسة ذات صلاحيات مرتفعة.

التأثير على المؤسسات المالية السعودية ومتطلبات SAMA

يتقاطع هذا التهديد مع عدة نطاقات في إطار SAMA CSCC. يشترط النطاق 3.3 (Asset Management) جرد جميع الأصول التقنية بما فيها الخدمات والبروتوكولات المستخدمة على كل خادم. كما يُلزم النطاق 3.4 (Technology Risk Management) بتقييم المخاطر التقنية بشكل دوري وإيقاف البروتوكولات غير الآمنة. ويتطلب النطاق 3.7 (Vulnerability Management) تطبيق التصحيحات الأمنية خلال إطار زمني محدد بحسب شدة الثغرة — وثغرة بتقييم 9.8 تستوجب معالجة فورية.

من جانب NCA ECC، تُلزم الضوابط 2-5-1 و2-5-2 المؤسسات بإدارة الثغرات الأمنية وتطبيق التحديثات، بينما يشترط الضابط 2-3-1 التحكم في الوصول للأنظمة الحرجة ومنع استخدام بروتوكولات غير مشفرة. كما أن نظام PDPL يفرض حماية البيانات الشخصية المخزنة على هذه الأنظمة، والاختراق عبر Telnet قد يؤدي إلى تسريب بيانات يُعرّض المؤسسة لعقوبات تصل إلى 5 ملايين ريال.

التوصيات والخطوات العملية

1. مسح فوري للمنفذ 23: نفّذ مسحاً شاملاً باستخدام Nmap أو أدوات إدارة سطح الهجوم مثل Censys أو Shodan لتحديد جميع الأنظمة التي يعمل عليها Telnet في شبكتك الداخلية والخارجية.
2. تعطيل Telnet فوراً: أوقف خدمة telnetd على جميع الخوادم واستبدلها بـ SSH (OpenSSH). إذا كان التعطيل مستحيلاً بسبب أنظمة قديمة، اعزل هذه الأنظمة في VLAN منفصل مع قواعد جدار حماية صارمة.
3. تطبيق التصحيح عند توفره: راقب إصدارات GNU InetUtils وطبّق التحديث الرسمي فور صدوره. تأكد من اختبار التصحيح في بيئة معزولة قبل النشر على أنظمة الإنتاج.
4. مراقبة حركة المنفذ 23: أضف قواعد IDS/IPS محددة للكشف عن محاولات استغلال SLC overflow. حلول مثل Suricata أو Snort يمكن تحديثها بقواعد مخصصة لهذه الثغرة.
5. تحديث جرد الأصول: وثّق جميع الأنظمة التي تستخدم Telnet في سجل الأصول وفق متطلبات SAMA CSCC النطاق 3.3، وضع خطة ترحيل زمنية واضحة.
6. تنفيذ اختبار اختراق مركّز: أجرِ اختبار اختراق يستهدف تحديداً البروتوكولات القديمة في بيئتك للتأكد من عدم وجود مسارات استغلال أخرى مشابهة.

الخلاصة

ثغرة CVE-2026-32746 ليست مجرد ثغرة تقنية — إنها تذكير صارم بأن البروتوكولات القديمة التي نسيناها لا تزال تمثل نقاط دخول حرجة للمهاجمين. في بيئة تنظيمية مثل القطاع المالي السعودي، لا مجال للتساهل مع خدمة تعمل بصلاحيات root وتنقل البيانات بنص واضح. الحل ليس فقط في التصحيح، بل في استراتيجية شاملة لإزالة البروتوكولات القديمة من البنية التحتية بالكامل.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مسحاً كاملاً للبروتوكولات القديمة والخدمات المكشوفة في بنيتك التحتية.