ثغرة GitHub CVE-2026-3854: تنفيذ شيفرة عن بُعد عبر git push يهدد بنوك SAMA

كشف فريق Wiz Research عن ثغرة حرجة في GitHub Enterprise Server (GHES) تحمل المعرّف CVE-2026-3854 بدرجة CVSS تبلغ 8.7، تسمح لأي مستخدم مصادَق بتنفيذ شيفرة عن بُعد على خوادم GitHub الخلفية باستخدام أمر git push بسيط فقط. ومع تأكيد أن 88% من خوادم GHES المستضافة ذاتياً كانت معرضة وقت الإفصاح العلني، فإن هذه الثغرة تمثل تهديداً مباشراً لسلامة مستودعات الشيفرة المصدرية في البنوك والمؤسسات المالية السعودية.

تشريح الثغرة: حقن أوامر في بروتوكول Git الداخلي

الثغرة كامنة في مكون babeld، وهو الوكيل الداخلي لـ Git في GitHub. عند تنفيذ المطور لأمر git push مع خيارات دفع مخصصة (push options)، كانت القيم التي يقدمها المستخدم تُنسخ حرفياً إلى ترويسة داخلية مفصولة بفواصل منقوطة (X-Stat) دون تعقيم رمز الفاصلة المنقوطة — وهو نفس الرمز المستخدم كفاصل للحقول. هذا يفتح الباب أمام حقن قيم خبيثة تُربك المعالج الداخلي.

سلسلة الاستغلال تتطلب ثلاث عمليات حقن متتالية: حقن قيمة rails_env غير إنتاجية لتجاوز بيئة العزل (sandbox)، ثم حقن custom_hooks_dir لإعادة توجيه دليل خطافات Git، وأخيراً حقن repo_pre_receive_hooks بمدخل خطاف مُعدّ بعناية يستغل اجتياز المسارات (path traversal) لتنفيذ أوامر اعتباطية تحت صلاحيات مستخدم git على الخادم.

الجدول الزمني والإفصاح المنسّق

اكتشف باحثو Wiz الثغرة في 4 مارس 2026 وأبلغوا GitHub في اليوم نفسه. أصدرت GitHub المعرّف CVE-2026-3854 بدرجة CVSS 8.7 في 10 مارس مع التصحيح للنسخة 3.19.3 من GHES. أما الإفصاح العلني فكان في 28 أبريل 2026، ما أعطى فترة سماح قصيرة نسبياً للمؤسسات لتطبيق الترقيع. منصة GitHub.com نفسها لم تتأثر لأن وضع المؤسسة (enterprise mode) فيها معطّل افتراضياً، أما GitHub Enterprise Server المستضاف ذاتياً فهو الهدف المباشر — وهو الخيار الذي تعتمده غالبية البنوك السعودية لأسباب السيادة على البيانات.

التأثير على المؤسسات المالية السعودية

تستخدم البنوك وشركات التقنية المالية السعودية الخاضعة لرقابة ساما GitHub Enterprise Server لإدارة شيفرات أنظمة المدفوعات وتطبيقات الخدمات المصرفية الرقمية وواجهات برمجة التطبيقات (APIs) الخاصة بالعملاء. اختراق مستودع شيفرة بنكي عبر CVE-2026-3854 يعني تسرّب الملكية الفكرية، ومفاتيح API، وبيانات الاعتماد المضمّنة (hardcoded secrets)، بل وإمكانية حقن أبواب خلفية تنتقل إلى الإنتاج عبر خطوط CI/CD.

من منظور تنظيمي، تتقاطع هذه الثغرة مع عدة ضوابط مرجعية: ضابط ساما CSCC 3.3.5 المتعلق بأمن تطوير التطبيقات، وضوابط NCA ECC ضمن المجال الفرعي 4-1 لإدارة أصول التقنية، وضوابط الهوية في NCA ECC 2-2. كما يفرض إطار NCA OTCC ضوابط أكثر صرامة على بيئات تطوير الأنظمة التشغيلية. تجاهل تطبيق التصحيح يعرّض البنك لمخالفة مباشرة في تقييم النضج السنوي الذي تنفذه ساما عبر منهجية CMM.

التوصيات والخطوات العملية

1. الترقية الفورية إلى GHES 3.19.3 أو أحدث على جميع نسخ GitHub Enterprise Server المستضافة داخلياً، مع توثيق نافذة الصيانة للمدققين.
2. تفعيل التحقق من بيانات الاعتماد متعدد العوامل (MFA) إجبارياً لكل المطورين والوصول الإداري، وإلغاء أي حسابات service accounts غير مستخدمة.
3. مراجعة سجلات babeld وسجلات git push للأشهر الماضية بحثاً عن استخدام مشبوه لـ push options، خاصة الإدخالات التي تحتوي على فواصل منقوطة أو أحرف خاصة.
4. تطبيق مبدأ الحد الأدنى من الامتيازات على مستودعات الشيفرة، وفصل بيئات الإنتاج عن التطوير والاختبار وفق ضابط ساما 3.3.5.
5. تشغيل أدوات SAST وSCA مثل Semgrep وSnyk وGitLeaks ضمن خطوط CI/CD لاكتشاف أي شيفرة خبيثة محقونة قد تكون نتجت عن استغلال سابق.
6. دمج CVE-2026-3854 ضمن خطة التهديدات في منصات XDR وSIEM، وإعداد قواعد كشف Sigma لرصد أنماط الاستغلال على بوابات Git.

الخلاصة

ثغرة CVE-2026-3854 ليست مجرد خلل تقني عابر، بل اختبار حقيقي لنضج عمليات DevSecOps في البنوك السعودية، ولقدرة فرق الأمن على الاستجابة السريعة لتهديدات سلسلة التوريد البرمجية. الترقية الفورية، إلى جانب مراجعة منظومة إدارة سرّيات الشيفرة، باتت ضرورة لا تأجيل فيها — خاصةً مع اقتراب جولات تقييم ساما لعام 2026.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى نضجك السيبراني وفق SAMA CSCC، يشمل مراجعة بيئات DevSecOps وضوابط حماية الشيفرة المصدرية.