ثغرة F5 BIG-IP APM الحرجة CVE-2025-53521: تنفيذ أوامر عن بُعد يستهدف البنية التحتية المالية

أعلنت وكالة الأمن السيبراني الأمريكية CISA في 28 مارس 2026 عن إضافة ثغرة CVE-2025-53521 في منتج F5 BIG-IP Access Policy Manager إلى قائمة الثغرات المُستغلة فعلياً (KEV)، بعد رصد حملات استغلال نشطة تستهدف مؤسسات حول العالم. بتصنيف خطورة CVSS 9.8 من 10، تتيح هذه الثغرة للمهاجم تنفيذ أوامر عشوائية عن بُعد دون الحاجة لأي مصادقة — مما يجعلها من أخطر الثغرات التي واجهها القطاع المالي هذا العام.

تفاصيل الثغرة الفنية وآلية الاستغلال

تكمن الثغرة في عملية apmd المسؤولة عن معالجة سياسات الوصول في BIG-IP APM. عند تفعيل سياسة وصول (Access Policy) على خادم افتراضي (Virtual Server)، يمكن لحركة مرور خبيثة مُصاغة بشكل محدد أن تستغل خللاً في معالجة المدخلات لتنفيذ تعليمات برمجية على مستوى النظام. الأخطر من ذلك أن الاستغلال لا يتطلب أي بيانات اعتماد، مما يعني أن أي مهاجم يستطيع الوصول إلى واجهة الخدمة يمكنه السيطرة الكاملة على الجهاز.

أُعيد تصنيف هذه الثغرة في مارس 2026 من مجرد ثغرة حرمان من الخدمة (DoS) إلى ثغرة تنفيذ أوامر عن بُعد (RCE) بعد اكتشاف أن المهاجمين تمكنوا من تحويل التعطل الأولي إلى تنفيذ كامل للأوامر. حصلت الثغرة على تصنيف CVSS v3.1 بقيمة 9.8 وCVSS v4.0 بقيمة 9.3، مما يضعها في أعلى فئات الخطورة.

الإصدارات المتأثرة ونطاق الانتشار

تؤثر الثغرة على إصدارات متعددة من F5 BIG-IP تشمل: الإصدارات من 17.5.0 إلى 17.5.1، ومن 17.1.0 إلى 17.1.2، ومن 16.1.0 إلى 16.1.6، ومن 15.1.0 إلى 15.1.10. كما أن أجهزة BIG-IP العاملة في وضع Appliance Mode متأثرة بنفس الدرجة. منتج F5 BIG-IP يُعد من الحلول الأكثر انتشاراً في مراكز البيانات المالية عالمياً، حيث يُستخدم كبوابة رئيسية لإدارة وصول الموظفين عن بُعد وتأمين التطبيقات المصرفية الحساسة.

بحسب رصد عدة مصادر أمنية، بدأت عمليات المسح المكثف للأجهزة المكشوفة فور إضافة الثغرة لقائمة KEV، مع تسجيل محاولات استغلال فعلية من مجموعات تهديد متقدمة تستهدف القطاعين المالي والحكومي.

التأثير المباشر على المؤسسات المالية السعودية

تعتمد كثير من البنوك وشركات التأمين وشركات التقنية المالية في المملكة على حلول F5 BIG-IP لإدارة الوصول عن بُعد للموظفين وتأمين بوابات الخدمات المصرفية الإلكترونية. استغلال هذه الثغرة بنجاح يعني قدرة المهاجم على اختراق البوابة الرئيسية والوصول إلى الشبكة الداخلية، وسرقة بيانات اعتماد المستخدمين وجلسات العمل النشطة، والتحرك أفقياً داخل البيئة للوصول إلى الأنظمة المصرفية الأساسية (Core Banking)، وزرع برمجيات خبيثة أو برامج فدية على البنية التحتية.

من منظور تنظيمي، يُلزم إطار SAMA CSCC المؤسسات المالية بتطبيق تحديثات الأمان الحرجة ضمن إطار زمني محدد وفق نطاق التحكم 3.3.3 (إدارة التصحيحات والثغرات). كما تشترط ضوابط NCA ECC وجود برنامج فعّال لإدارة الثغرات يشمل المسح الدوري وتحديد الأولويات وتطبيق التصحيحات. التأخر في معالجة ثغرة بهذه الخطورة قد يُعرّض المؤسسة لمخالفات تنظيمية وغرامات، فضلاً عن المخاطر التشغيلية.

لماذا هذه الثغرة أخطر من المعتاد

عدة عوامل تجعل CVE-2025-53521 تستحق أولوية قصوى في معالجتها. أولاً، الاستغلال الفعلي المُوثّق: لم تعد الثغرة نظرية بل تُستغل حالياً في هجمات حقيقية. ثانياً، عدم الحاجة لمصادقة: يمكن لأي مهاجم على الإنترنت استغلالها دون الحاجة لاسم مستخدم أو كلمة مرور. ثالثاً، موقع الجهاز في البنية: أجهزة BIG-IP APM تجلس عادةً على حدود الشبكة (Network Perimeter) مما يجعلها نقطة دخول مثالية. رابعاً، إعادة التصنيف المتأخرة: كثير من المؤسسات قد تكون تجاهلت الثغرة عندما كانت مُصنفة كـ DoS فقط، والآن اكتشفت أنها RCE كاملة.

خطوات الحماية والاستجابة الفورية

1. تحديث فوري: طبّق التحديثات الأمنية من F5 على جميع أجهزة BIG-IP APM المتأثرة. الإصدارات المُصحّحة متوفرة على موقع F5 الرسمي. إذا لم يكن التحديث ممكناً فوراً، طبّق الحلول المؤقتة (Workarounds) التي نشرتها F5.
2. مراجعة السجلات: افحص سجلات أجهزة BIG-IP وسجلات الشبكة بحثاً عن مؤشرات اختراق (IoCs) تشمل حركة مرور غير طبيعية على واجهات APM، وأوامر غير مألوفة في سجلات apmd، وجلسات وصول من عناوين IP مشبوهة.
3. تقييد الوصول: تأكد من أن واجهات إدارة BIG-IP غير مكشوفة مباشرة على الإنترنت. استخدم قوائم التحكم بالوصول (ACLs) لتقييد الوصول إلى عناوين IP موثوقة فقط.
4. تفعيل المراقبة المعززة: فعّل قواعد كشف مخصصة في نظام SIEM/SOC لرصد محاولات استغلال الثغرة. أضف مؤشرات الاختراق المنشورة من مصادر استخبارات التهديدات إلى أدوات المراقبة.
5. إخطار الجهات التنظيمية: وفق متطلبات SAMA للإبلاغ عن الحوادث، إذا رصدت أي مؤشرات استغلال فعلي، أبلغ فريق SAMA للاستجابة للحوادث خلال الإطار الزمني المحدد.
6. مراجعة بنية الثقة المعدومة: استخدم هذا الحدث كدافع لمراجعة مدى تطبيق مبادئ Zero Trust على بنية الوصول عن بُعد، وتقليل الاعتماد على نقطة دخول واحدة.

السياق الأوسع: تصاعد استهداف البنية التحتية للشبكات

تأتي هذه الثغرة ضمن نمط متصاعد في 2026 يستهدف أجهزة البنية التحتية للشبكات. خلال الأشهر الثلاثة الماضية، شهدنا ثغرات حرجة في Citrix NetScaler وCisco SD-WAN وstrongSwan VPN، وجميعها تستهدف نفس الفئة من الأجهزة التي تجلس على حدود الشبكة. الإحصائيات تُظهر أن متوسط زمن الاستغلال انخفض إلى أقل من 5 أيام من تاريخ الإفصاح، مع تسجيل 131 ثغرة جديدة يومياً في المتوسط خلال 2026. هذا الواقع يفرض على فرق الأمن السيبراني في القطاع المالي السعودي إعادة تقييم دورات التصحيح التقليدية والتحول نحو نماذج استجابة أكثر مرونة وسرعة.

الخلاصة

ثغرة CVE-2025-53521 في F5 BIG-IP APM ليست مجرد ثغرة أخرى في قائمة طويلة — إنها تهديد مباشر وفعلي لبوابات الوصول التي تحمي الأنظمة المصرفية الأكثر حساسية. إعادة تصنيفها من DoS إلى RCE تعني أن مؤسسات كثيرة قد تكون تأخرت في المعالجة. الوقت للتحرك هو الآن: حدّث أجهزتك، راجع سجلاتك، وتأكد أن بنية الوصول عن بُعد لديك لا تمثل نقطة ضعف واحدة يمكن أن تُسقط المنظومة بأكملها.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومراجعة شاملة لإدارة الثغرات في بنيتك التحتية.