ثغرة حرجة في F5 BIG-IP تُستغل فعلياً: ما يجب أن تفعله المؤسسات المالية السعودية الآن

أعادت شركة F5 تصنيف ثغرة أمنية في منتجها BIG-IP APM من ثغرة حجب خدمة إلى ثغرة تنفيذ أكواد عن بُعد بدرجة خطورة حرجة (CVSS 9.3)، وأكدت وجود استغلال نشط لها في البيئات الحقيقية. هذا التطور يضع المؤسسات المالية السعودية التي تعتمد على أجهزة F5 في موقف يتطلب استجابة فورية.

تفاصيل ثغرة CVE-2025-53521 في F5 BIG-IP

الثغرة المُصنفة تحت الرقم CVE-2025-53521 تؤثر على مكون Access Policy Manager في أجهزة F5 BIG-IP، وهي أجهزة موازنة أحمال وبوابات أمان تُستخدم على نطاق واسع في المؤسسات المالية لإدارة حركة البيانات وحماية التطبيقات. عند استغلال الثغرة، يستطيع المهاجم تنفيذ أكواد خبيثة عن بُعد على الجهاز المستهدف دون الحاجة لصلاحيات مسبقة.

اللافت أن F5 صنّفت هذه الثغرة في البداية كثغرة حجب خدمة فقط، لكنها أعادت تصنيفها في مارس 2026 بعد الحصول على معلومات جديدة تؤكد إمكانية تنفيذ أكواد عن بُعد. وقد أضافت وكالة الأمن السيبراني الأمريكية CISA هذه الثغرة إلى قائمة الثغرات المُستغلة فعلياً (KEV)، مما يعني أن المهاجمين يستخدمونها حالياً لنشر أبواب خلفية على الأجهزة غير المحدثة.

لماذا تهم هذه الثغرة المؤسسات المالية السعودية تحديداً

تعتمد كثير من البنوك وشركات التأمين والمدفوعات في المملكة العربية السعودية على أجهزة F5 BIG-IP كجزء أساسي من بنيتها التحتية. هذه الأجهزة تجلس عادة في نقاط حرجة من الشبكة — بين الإنترنت والتطبيقات الداخلية — مما يجعل أي اختراق لها بمثابة بوابة مفتوحة لكامل البيئة الداخلية.

من منظور الامتثال، يُلزم إطار SAMA CSCC المؤسسات المالية بتطبيق تحديثات الأمان الحرجة ضمن أطر زمنية محددة، وتوثيق عملية إدارة الثغرات بشكل منهجي. كما يتطلب إطار NCA ECC مراقبة مستمرة للثغرات المُستغلة فعلياً واتخاذ إجراءات فورية تجاهها. التأخر في معالجة هذه الثغرة قد يُعرّض المؤسسة لمخاطر تنظيمية إضافة إلى المخاطر الأمنية.

مؤشرات الاختراق والتكتيكات المُستخدمة

بحسب التقارير الأمنية، يستغل المهاجمون هذه الثغرة لنشر ملفات Webshell على الأجهزة المُخترقة، مما يمنحهم وصولاً مستمراً وقدرة على تنفيذ أوامر بصلاحيات عالية. فرق الأمن السيبراني يجب أن تبحث عن ملفات مشبوهة في مسارات التطبيقات على أجهزة BIG-IP، ومراجعة سجلات الوصول للكشف عن أي نشاط غير طبيعي خلال الفترة الماضية.

خطوات الاستجابة الفورية المطلوبة

1. جرد فوري: حدد جميع أجهزة F5 BIG-IP في بيئتك وتحقق من الإصدارات المُثبتة عليها
2. تطبيق التحديث: ثبّت آخر تحديث أمني من F5 على جميع الأجهزة المتأثرة فوراً
3. فحص ما بعد الاختراق: افحص الأجهزة بحثاً عن ملفات Webshell أو أي مؤشرات اختراق أخرى
4. مراجعة السجلات: راجع سجلات الوصول والنشاط للأسابيع الماضية للكشف عن أي استغلال سابق
5. تقييد الوصول: تأكد من عدم تعرض واجهة إدارة BIG-IP للإنترنت مباشرة
6. التوثيق: وثّق جميع الإجراءات المتخذة لأغراض الامتثال لـ SAMA CSCC و NCA ECC

الخلاصة

ثغرة F5 BIG-IP CVE-2025-53521 ليست ثغرة نظرية — إنها تُستغل الآن في بيئات حقيقية. المؤسسات المالية السعودية التي تعتمد على هذه الأجهزة يجب أن تتحرك فوراً لتطبيق التحديثات وفحص بيئاتها.

هل تحتاج مساعدة في تقييم تأثير هذه الثغرة على بيئتك؟ تواصل مع فريق فنترالينك لتقييم مجاني لوضعك الأمني وفق إطار SAMA CSCC.