CVE-2026-41940: تجاوز مصادقة cPanel يهدد البنية التحتية لبنوك SAMA

كشفت cPanel عن ثغرة حرجة بدرجة CVSS 9.8 (CVE-2026-41940) تتيح للمهاجمين تجاوز المصادقة كاملةً في لوحات cPanel وWHM وWP Squared، مع تجاوز التحقق متعدد العوامل (MFA) والوصول إلى صلاحيات الجذر. الثغرة استُغلّت في البرية منذ فبراير 2026 قبل توفر التصحيحات، وتمسّ ملايين الخوادم — كثير منها يستضيف بوابات وخدمات تابعة لمزوّدي البنوك السعودية وأطراف ثالثة في منظومة المدفوعات. هذا التحليل من فنترالينك يضع الثغرة في إطار متطلبات SAMA CSCC وNCA ECC وPDPL.

تفاصيل CVE-2026-41940 وآلية الاستغلال

الثغرة هي تجاوز مصادقة ناتج عن حقن CRLF (Carriage Return Line Feed) في مسار تسجيل الدخول وتحميل الجلسة داخل خدمة cpsrvd. المهاجم يُرسل ترويسة Basic Authorization مُعدّلة تتضمن أحرف \r\n خام، فيكتب الخادم ملف الجلسة على القرص قبل إتمام التحقق دون تنقية المدخلات. النتيجة: المهاجم يتلاعب بقيمة كوكي whostmgrsession، يتجاوز عملية التشفير المتوقعة، ويحصل على جلسة صالحة دون أي بيانات اعتماد.

تُؤكّد cPanel أن جميع الإصدارات المدعومة مصابة، والإصلاحات أُصدرت في 11.110.0.97، 11.118.0.63، 11.126.0.54، 11.132.0.29، 11.134.0.20، و11.136.0.5. باحثو watchTowr وRapid7 رصدوا محاولات استغلال نشطة على نطاق واسع، مع نشر إثبات مفهوم (PoC) عام يجعل التحوّل إلى استغلال جماعي مسألة وقت قصير.

ما الذي يجعل هذه الثغرة استثنائية؟

على عكس كثير من الثغرات التي تتطلب وضعية شبكية معقّدة، يحتاج المهاجم هنا فقط إلى وصول HTTPS إلى منافذ cPanel القياسية (2083، 2087، 2095، 2096). الأخطر أن الاستغلال يتجاوز MFA كلياً — لأن المصادقة لا تُنفّذ أصلاً قبل كتابة ملف الجلسة. هذا يُفرغ ضوابط مهمة من أثرها: SMS-OTP، تطبيقات Authenticator، ومفاتيح FIDO2 لا تُحدث أي فرق.

ميزة ثانية مقلقة: الاستغلال صامت ولا يترك أثراً واضحاً في سجلات تسجيل الدخول الفاشلة، لأن الخادم يُسجّل الجلسة كناجحة منذ اللحظة الأولى. فرق SOC التي تعتمد على قواعد كشف "محاولات تسجيل دخول متكررة" ستخفق في رصد الحادثة دون قواعد إضافية على سلوك الجلسة وتغييرات ملفات /var/cpanel/sessions.

التأثير على المؤسسات المالية السعودية

قد يبدو cPanel بعيداً عن قلب أنظمة البنوك الأساسية، لكن الواقع التشغيلي مختلف. مزوّدو الاستضافة المُدارة لمواقع البنوك التسويقية، بوابات الـ Onboarding، تطبيقات Treasury الخفيفة، أنظمة CRM للأطراف الثالثة، ومنصات نشر المحتوى للمؤسسات المالية الصغيرة والمتوسطة في المملكة — جميعها كثيراً ما تعمل خلف cPanel/WHM. اختراق إحدى هذه البيئات يفتح الباب أمام: حقن JavaScript خبيث في صفحات تسجيل دخول العملاء، اختطاف نطاقات DNS الفرعية، وزراعة Webshell كنقطة ارتكاز للحركة الجانبية.

متطلب SAMA CSCC في الفقرة 3.3.5 (إدارة الثغرات والتصحيحات) يفرض على البنوك ومزوّديها الخارجيين تطبيق تصحيحات الثغرات الحرجة خلال 72 ساعة من إصدارها. وتحت الفقرة 3.3.14 (إدارة الأطراف الثالثة)، يتعيّن على البنك الحصول على تأكيد مكتوب من المزود بأن أنظمة cPanel المعرّضة قد رُقّيت. NCA ECC ضابط 2-2-3 يُلزم بتعزيز ضوابط مصادقة الإدارة عن بُعد، وضابط 2-10-3 يفرض كشف الحوادث في أنظمة الأطراف الثالثة. أمّا PDPL، فأي اختراق يكشف بيانات عملاء — حتى عبر مزود ثانوي — يستوجب الإبلاغ لسدايا خلال 72 ساعة.

التوصيات والخطوات العملية

1. طبّق فوراً تحديثات cPanel/WHM المعتمدة، وتحقّق من رقم البناء بأمر /usr/local/cpanel/cpanel -V على كل خادم متأثر.
2. إن تعذّر التحديث الفوري، أوقف خدمتي cpsrvd وcpdavd واحجب المنافذ 2083/2087/2095/2096 على جدار الحماية المحيطي حتى المعالجة.
3. اطلب من جميع مزوّدي الاستضافة والـ TPRM تقديم Attestation موقّع خلال 48 ساعة يؤكد حالة التصحيح وتقييم آثار الاستغلال السابق.
4. افحص دليل /var/cpanel/sessions/ بحثاً عن ملفات جلسات أُنشئت خارج نوافذ تسجيل دخول مشروعة، وراجع سجلات access_log لطلبات تتضمن أنماط CRLF شاذة.
5. أبطل جميع جلسات cPanel/WHM الحالية، أعد تدوير كلمات مرور الإدارة ومفاتيح API، وافرض تجديد شهادات SSL إن وُجد شك في تسريب المفاتيح الخاصة.
6. أضف قواعد كشف على SIEM (مثل Wazuh أو Splunk) ترصد إنشاء ملفات whostmgrsession دون طلب مصادقة سابق، وتُنبّه على أي تغيير في ملفات /etc/cpanel.config.
7. وثّق الحادثة في سجل المخاطر السيبراني وفق نموذج SAMA CRR، وأبلغ لجنة المخاطر التشغيلية باعتبار هذه ثغرة عالية الأولوية حتى التأكد من سلامة جميع الأصول.

الخلاصة

CVE-2026-41940 تذكير حاد بأن المحيط الأمني للبنك السعودي يمتد إلى كل خادم cPanel يستضيف نطاقاً تابعاً أو خدمة لطرف ثالث. تجاوز المصادقة بدون بيانات اعتماد واستغلال صامت في البرية يجعل الثغرة سيناريو اختبار حقيقي لجاهزية فرق الاستجابة وامتثال TPRM. الفجوة الزمنية بين الإصلاح والاستغلال الجماعي تُقاس بالساعات، لا بالأيام.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة سياسات إدارة التصحيحات وضوابط TPRM وقدرات الكشف على بيئات الاستضافة الخارجية.