ثغرة D-Link الحرجة CVE-2026-0625: استغلال موجهات منتهية العمر يهدد بنوك SAMA

كشفت شركة D-Link عن ثغرة حرجة جديدة بمعرّف CVE-2026-0625 بدرجة خطورة CVSS تبلغ 9.3، تستهدف عائلة من موجهات DSL منتهية الدعم وتُستغَل بنشاط منذ نوفمبر 2025. الأخطر أن الشركة أعلنت صراحةً أنه لن يصدر أي تصحيح أمني، وهو ما يضع كل مؤسسة سعودية لا تزال تشغّل هذه الأجهزة — بما فيها فروع وأجهزة طرفية تابعة لبنوك خاضعة لرقابة البنك المركزي السعودي SAMA — أمام مخاطر فورية تشمل اختطاف DNS وتنفيذ كود عن بُعد دون مصادقة.

تفاصيل ثغرة CVE-2026-0625 وآلية الاستغلال

الثغرة موجودة في مكتبة dnscfg.cgi داخل واجهة الإدارة، حيث لا يتم تنقيح معاملات إعدادات DNS التي يرسلها المستخدم بشكل سليم. هذا الإهمال البسيط في التحقق من المدخلات يفتح الباب لمهاجم بعيد وغير مصادَق لحقن أوامر Shell وتنفيذها بصلاحيات الجذر على الموجه. الأجهزة المتأثرة وفق إعلان D-Link الرسمي تشمل طرازات DSL-2740R و DSL-2640B و DSL-2780B و DSL-526B بإصدارات البرامج الثابتة الصادرة بين 2016 و 2019. وقد رصدت مؤسسة Shadowserver Foundation حملات استغلال نشطة منذ أواخر نوفمبر 2025 تتضمن سلوك DNSChanger يهدف إلى إعادة توجيه ضحايا غير محذِرين إلى صفحات بنكية مزيفة.

لماذا تشكّل الموجهات منتهية الدعم خطراً مضاعفاً

الإشكالية لا تنتهي عند الثغرة نفسها بل تمتد إلى نموذج الاستغلال. فبمجرد سيطرة المهاجم على الموجه يمكنه تعديل خوادم DNS لتمرير كل حركة المرور — بما في ذلك زيارات موظفي الفروع لبوابات الخدمات المصرفية الإلكترونية وأنظمة SWIFT الويب — عبر بنية تحتية يتحكم بها هو. هذا يفتح طريقاً مباشراً لهجمات Adversary-in-the-Middle (AiTM) والاستيلاء على الجلسات وحتى تجاوز المصادقة متعددة العوامل عبر اعتراض رموز OTP في الوقت الحقيقي. فضلاً عن ذلك، تُستغل هذه الموجهات شبكات بوت لشن هجمات DDoS أو كنقاط Pivot للحركة الجانبية داخل الشبكات المؤسسية.

التأثير على المؤسسات المالية السعودية

وفق إطار SAMA Cyber Security Framework (CSCC) الإصدار 1.0 — الضبط 3.3.5 الخاص بإدارة الأصول، فإن تشغيل أي أصل تقني انتهت دورة دعمه دون خطة معالجة موثقة يعتبر انتهاكاً مباشراً يُكشف خلال أي تدقيق سواء كان داخلياً أو من فريق Joint Gulf Inspections. كذلك يربط NCA ECC-1:2018 — الضبط 2-5-1 هذا النوع من الإهمال بمتطلبات إدارة التحديثات والتصحيحات. الأخطر أن وجود هذه الموجهات في شبكات الفروع البعيدة أو أجهزة الصراف الآلي ATM المرتبطة عبر VPN قد يخلق ممراً لاختراق منطقة Card Data Environment (CDE)، مما يضع البنك في مواجهة مباشرة مع متطلبات PCI-DSS v4.0.1 الضوابط 6.3 و 11.4. بحسب تجارب مماثلة، فإن أي حادثة من هذا النوع تستوجب إخطار SAMA خلال 4 ساعات وفق متطلبات Cyber Incident Reporting.

خطوات الاستجابة الفورية والمعالجة

1. الجرد الفوري: نفّذ مسحاً شاملاً لشبكتك باستخدام Nmap أو Rumble أو Lansweeper للبحث عن أي موجه D-Link DSL ضمن النطاقات المشار إليها، مع التركيز على المواقع البعيدة والفروع والمكاتب الإقليمية.
2. العزل الشبكي: ضع كل جهاز مكتشف في VLAN معزول دون اتصال بالإنترنت وبدون مرور لنطاق إعدادات النظام الأساسية (CDE / OT / إدارية) حتى يتم استبداله.
3. الاستبدال لا التصحيح: لا تنتظر تصحيحاً لن يأتي. جدول استبدال هذه الأجهزة بنماذج مدعومة من بائعين معتمدين ضمن قائمة المزودين الموثوقين لدى SAMA، خلال نافذة لا تتجاوز 30 يوماً.
4. مراجعة سجلات DNS: افحص سجلات DNS الصادرة من فروعك خلال آخر 90 يوماً للبحث عن استعلامات مشبوهة أو تحويلات إلى خوادم DNS غير معتمدة، وارفع التنبيهات في SIEM (Splunk / Sentinel / QRadar).
5. تفعيل DNS Filtering مركزي: فرض استخدام Protective DNS مثل Cisco Umbrella أو Cloudflare Gateway مع منع التجاوز عبر سياسات الجدار الناري لتقليل أثر أي اختطاف لاحق.
6. تحديث سجل المخاطر: أدرج CVE-2026-0625 في Risk Register المؤسسي، واربطه بضوابط SAMA CSCC 3.3.5 و 3.3.14، مع توثيق خطة المعالجة وموافقة لجنة الأمن السيبراني.
7. إخطار الجهات التنظيمية: في حال اكتشاف أي مؤشر اختراق، فعّل بروتوكول الإبلاغ خلال 4 ساعات إلى SAMA و NCA وفق ما يقتضيه إطار Cyber Incident Reporting.

الخلاصة

ثغرة CVE-2026-0625 ليست مجرد خبر تقني عابر، بل اختبار حقيقي لمدى نضج برامج إدارة الأصول ودورة حياة الأجهزة في القطاع المالي السعودي. أي بنك أو شركة مالية تكتشف اليوم أن لديها موجهات منتهية الدعم في فروعها يجب أن تتعامل مع الأمر باعتباره حادثة وشيكة لا مجرد تنبيه روتيني.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل جرداً شاملاً للأصول المنتهية الدعم وخريطة طريق للاستبدال وفق متطلبات الجهات التنظيمية.