ثغرة F5 BIG-IP APM الحرجة CVE-2025-53521: تنفيذ أوامر عن بُعد يستهدف البنية التحتية المالية

أضافت وكالة CISA ثغرة CVE-2025-53521 في أنظمة F5 BIG-IP Access Policy Manager إلى قائمة الثغرات المُستغلة فعلياً KEV، بعد رصد مهاجمين يستخدمونها لتنفيذ أوامر عن بُعد ونشر web shells على أجهزة لم تُحدَّث. الخطورة الحقيقية؟ أنظمة F5 BIG-IP تُشكّل العمود الفقري لإدارة حركة البيانات في معظم البنوك والمؤسسات المالية السعودية.

من إنكار الخدمة إلى تنفيذ أوامر كامل: إعادة تصنيف خطيرة

عند الكشف الأولي عن CVE-2025-53521، صنّفتها F5 كثغرة تؤدي إلى إنكار الخدمة (DoS) فقط. لكن في مارس 2026، كشفت معلومات جديدة أن الثغرة أخطر بكثير مما اعتُقد: يمكن لمهاجم غير مُصادَق عليه تنفيذ أوامر عشوائية عن بُعد (RCE) على الأنظمة المتأثرة. رُفع تقييم CVSS من متوسط إلى 9.8 وفق CVSS v3.1 و9.3 وفق CVSS v4.0، مما يضعها في أعلى فئات الخطورة.

المشكلة التقنية تكمن في كيفية معالجة BIG-IP APM لطلبات محددة عند ربط سياسة وصول (Access Policy) بخادم افتراضي (Virtual Server). يستطيع المهاجم إرسال حركة بيانات مُصاغة بعناية لاستغلال هذا الخلل دون الحاجة لأي بيانات اعتماد، مما يمنحه تحكماً كاملاً بالجهاز.

الاستغلال الفعلي: Web Shells ومسح مكثف

أكدت F5 رسمياً أن مهاجمين يستغلون الثغرة لنشر web shells على الأجهزة المخترقة، مما يمنحهم بوابة خلفية دائمة للوصول إلى الشبكة. بعد إضافة CISA للثغرة في قائمة KEV بتاريخ 24 مارس 2026، رصدت شركات رصد التهديدات نشاطاً مكثفاً في مسح الأجهزة المكشوفة عبر الإنترنت، مع تركيز المهاجمين على نقطة الوصول /mgmt/shared/identified-devices/config/device-info لتحديد الأجهزة الضعيفة.

الإصدارات المتأثرة تشمل BIG-IP APM في الفروع 15.x و16.x و17.x بجميع أوضاع النشر، بما في ذلك وضع Appliance Mode. الشرط الوحيد للاستغلال هو وجود سياسة APM مربوطة بخادم افتراضي — وهو الإعداد الافتراضي في معظم بيئات الإنتاج.

لماذا يُشكّل هذا تهديداً مباشراً للقطاع المالي السعودي؟

أجهزة F5 BIG-IP ليست مجرد مكون شبكي عادي في البنوك السعودية — إنها تتحكم في توزيع حركة البيانات، وإدارة شهادات SSL، وتطبيق سياسات الوصول عن بُعد للموظفين والعملاء. اختراق جهاز BIG-IP يعني فعلياً اختراق نقطة تمرّ عبرها كل المعاملات المالية الرقمية.

من منظور الامتثال التنظيمي، يتعارض وجود ثغرة مُستغلة فعلياً دون معالجة مع عدة متطلبات في إطار SAMA CSCC، تحديداً ضوابط إدارة الثغرات (Vulnerability Management) التي تُلزم المؤسسات المالية بتطبيق التحديثات الأمنية الحرجة خلال إطار زمني محدد. كذلك، يتطلب إطار NCA ECC ضمن ضوابط أمن الشبكات توثيق جميع الأجهزة المكشوفة على الإنترنت ومراقبتها بشكل مستمر.

أما على صعيد PCI-DSS، فإن المتطلب 6.3.3 يُلزم بتطبيق التصحيحات الأمنية الحرجة خلال شهر واحد من صدورها. بالنظر إلى أن التصحيح صدر في أكتوبر 2025 والاستغلال الفعلي بدأ في مارس 2026، فإن أي مؤسسة لم تُحدّث أجهزتها حتى الآن تُعد في حالة مخالفة صريحة.

التوصيات والخطوات العملية

1. تحديث فوري: طبّق تحديثات F5 الصادرة في أكتوبر 2025 على جميع أجهزة BIG-IP APM. الإصدارات المُصحَّحة متوفرة للفروع 15.x و16.x و17.x. إذا كنت قد حدّثت مبكراً، تحقق أن الإصدار يتضمن الإصلاح.
2. فحص مؤشرات الاختراق: ابحث عن وجود web shells غير معروفة على أجهزة BIG-IP، وراجع سجلات الوصول لنقطة /mgmt/shared/identified-devices/config/device-info بحثاً عن طلبات استطلاع مشبوهة.
3. تقييد الوصول الإداري: تأكد أن واجهة الإدارة (Management Interface) غير مكشوفة على الإنترنت. طبّق قوائم تحكم بالوصول (ACLs) تحصر الاتصال بعناوين IP الإدارية المعتمدة فقط.
4. تفعيل المراقبة المتقدمة: أضف قواعد كشف في حلول SIEM/SOC لرصد أي محاولات استغلال لهذه الثغرة، مع التركيز على الأنماط المرتبطة بنشر web shells وتنفيذ أوامر غير اعتيادية.
5. جرد الأصول المكشوفة: نفّذ مسحاً شاملاً لتحديد جميع أجهزة F5 BIG-IP المكشوفة على الإنترنت في بيئتك، وتحقق من إعدادات APM وارتباطها بالخوادم الافتراضية.
6. إخطار الجهات التنظيمية: إذا اكتشفت أي مؤشرات اختراق، بادر بإخطار البنك المركزي السعودي (SAMA) والهيئة الوطنية للأمن السيبراني (NCA) وفق إجراءات الإبلاغ عن الحوادث المعتمدة.

الخلاصة

تُمثّل ثغرة CVE-2025-53521 نموذجاً واضحاً لكيفية تطور الثغرات من تهديد منخفض إلى سلاح فعّال بيد المهاجمين. إعادة التصنيف من DoS إلى RCE تعني أن التقييم الأولي للمخاطر الذي أجرته فرق الأمن قد يكون أقل من الواقع بكثير. المؤسسات المالية السعودية التي تعتمد على F5 BIG-IP — وهي الأغلبية — يجب أن تتعامل مع هذا التهديد كأولوية قصوى لا تحتمل التأجيل.

هل أجهزة F5 في مؤسستك محدّثة ومحمية؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وفحص شامل للبنية التحتية الشبكية.