Medusa عبر Exchange: 7 ثغرات حرجة في CISA KEV تهدد القطاع المالي السعودي قبل 27 أبريل

في 13 أبريل 2026، أضافت وكالة الأمن السيبراني الأمريكية CISA سبع ثغرات جديدة إلى قائمة الثغرات المستغلة فعلياً (KEV)، تشمل منتجات Microsoft Exchange وAdobe Acrobat وFortinet FortiClient. الأخطر في هذه الدُفعة أن مجموعة التهديد Storm-1175 باتت تُسلِّح ثغرة Exchange CVE-2023-21529 لتوصيل برنامج الفدية Medusa مباشرة إلى الأنظمة الداخلية — وهو ما يجعل هذا التحذير بالغ الأثر على كل مؤسسة مالية سعودية تعمل ببيئة Exchange هجينة أو on-premises.

سبع ثغرات على قائمة الخطر: ما الذي أضافته CISA؟

أعلنت CISA في 13 أبريل 2026 إضافة سبع ثغرات إلى قائمة KEV، مع إلزام جميع الوكالات الفيدرالية الأمريكية بالتصحيح قبل 27 أبريل 2026. وعلى الرغم من أن الالتزام القانوني ينطبق على الجهات الأمريكية، فإن قائمة KEV تُمثِّل أدق مؤشر متاح على الثغرات التي تستغلها جهات التهديد فعلياً في الحملات الجارية. أبرز الثغرات المُضافة:

• CVE-2023-21529 (Microsoft Exchange Server) — ثغرة تنفيذ كود عن بُعد تستغلها مجموعة Storm-1175 لنشر Medusa Ransomware داخل بيئات Exchange.
• CVE-2026-34621 (Adobe Acrobat Reader) — ثغرة حرجة بدرجة CVSS 8.6 تتيح تنفيذ كود خبيث عند فتح ملف PDF مُصنَّع، وقد رصدتها CISA في استغلال نشط.
• CVE-2026-21643 (Fortinet FortiClient EMS) — حقن SQL بدون مصادقة بدرجة CVSS 9.1، رصدت شركة Defused Cyber استغلالها منذ 24 مارس 2026.
• CVE-2012-1854 (Microsoft Visual Basic for Applications) — ثغرة تحميل مكتبة غير آمن تُفضي إلى تنفيذ كود عن بُعد، أُعيد استغلالها في حملات حديثة.

ما يُميِّز هذه الدُفعة أن ثلاث ثغرات منها تستهدف Exchange وأدوات نقطة النهاية — وهما الركيزتان الأساسيتان في بيئات العمل المؤسسي داخل البنوك والشركات المالية السعودية.

Storm-1175 وMedusa: منهجية هجوم تتجاوز ضوابط البريد التقليدية

Storm-1175 هو تهديد منظم يعمل ضمن نموذج RaaS (Ransomware-as-a-Service) ويوزع برنامج الفدية Medusa عبر ثغرات Exchange غير المُرقَّعة. المنهجية المُتبعة: يصل المهاجم إلى خادم Exchange عبر CVE-2023-21529، يُنشئ بريداً إلكترونياً داخلياً موثوقاً بالمجال (Trusted Domain Email) يحمل رابطاً أو مرفقاً خبيثاً، ثم يُوزِّع حمولة Medusa على أجهزة الموظفين. هذا التكتيك يتجاوز كثيراً من ضوابط الفلترة التقليدية لأن الرسالة تصدر من مصدر داخلي موثوق، مما يرفع معدلات النجاح بشكل ملحوظ مقارنة بالتصيد الخارجي المعتاد.

Medusa بحد ذاته شهد تصاعداً خلال الربع الأول من 2026، إذ ادّعت المجموعة مسؤوليتها عن اختراق أكثر من 40 مؤسسة في القطاعين المالي والصحي عالمياً. حجم الفدية المطلوبة يتراوح بين 100,000 و2,000,000 دولار مع تهديد بنشر البيانات المسرَّبة خلال 72 ساعة في حال عدم الدفع — وهو ضغط مُضاعف في ظل متطلبات الإفصاح التنظيمي لـ SAMA.

ثغرة Adobe Acrobat CVE-2026-34621: سلاح يصل عبر صندوق البريد اليومي

تحمل ثغرة Adobe Acrobat Reader CVE-2026-34621 تصنيف CVSS 8.6 وتُستغل فعلياً في الحملات الجارية. يكفي للمهاجم إرسال ملف PDF مُصنَّع بدقة ليتمكن من تنفيذ كود خبيث بمجرد فتح الضحية للملف دون الحاجة لأي تفاعل إضافي. في البيئة المصرفية والمالية، تُعدُّ ملفات PDF شريان العمل اليومي: عقود، كشوفات حسابات، تقارير امتثال، تعاميم بنك مركزي. هذا يجعل Acrobat هدفاً استراتيجياً لأي مجموعة تهديد تستهدف القطاع المالي. التحديث الرسمي متاح عبر Security Bulletin APSB26-14 من موقع Adobe.

التأثير على المؤسسات المالية السعودية الخاضعة لرقابة SAMA

تُلزم المادة 3-3-6 من إطار SAMA CSCC المؤسساتِ المالية بتطبيق التصحيحات الأمنية وفق جداول زمنية محددة تبعاً لتصنيف الخطورة. الثغرات الثلاث الحرجة المُضافة (Exchange، Acrobat، FortiClient) تقع ضمن الفئة التي تستوجب تصحيحاً عاجلاً. إضافة إلى ذلك، يُلزم ضابط "إدارة الأصول والثغرات" ضمن NCA-ECC المؤسساتِ بتوثيق عمليات التصحيح والاحتفاظ بسجلات إجراءات الاستجابة. والأهم: في حال تعرضت مؤسسة مالية لاختراق عبر ثغرة معروفة ومُعلنة ولم تُصحَّح في الوقت المناسب، فإن SAMA قد تعتبر ذلك إهمالاً تنظيمياً يستوجب الإفصاح واتخاذ إجراءات تصحيحية رسمية.

التوصيات والخطوات العملية

1. تصحيح Microsoft Exchange فوراً: تطبيق تحديثات Exchange Security Update لأبريل 2026 على جميع الخوادم، والتحقق من غياب أي Webshells موروثة عبر فحص مسارات OWA وEWS في سجلات IIS.
2. تحديث Adobe Acrobat Reader وAcrobat DC: نشر تحديث APSB26-14 عبر نظام إدارة التصحيحات (SCCM/Intune) مع تعطيل JavaScript في إعدادات Acrobat لتقليص سطح الهجوم.
3. معالجة FortiClient EMS CVE-2026-21643: ترقية FortiClient EMS إلى الإصدار المُوصى به فوراً، وتطبيق قواعد WAF لمنع محاولات حقن SQL عبر واجهة EMS.
4. مراجعة سجلات Exchange بأثر رجعي: البحث في سجلات IIS ومحطات Exchange عن أنشطة غير طبيعية منذ 1 مارس 2026، مع التركيز على طلبات POST غير المعتادة في مسارات OWA.
5. استيراد IOCs الخاصة بـ Storm-1175 وMedusa: تحميل مؤشرات الاختراق المنشورة من Defused Cyber ومنصات Threat Intel في SIEM وتفعيل قواعد الكشف المقابلة في SOAR.
6. توعية الموظفين بمخاطر PDF الخبيث: إطلاق تنبيه توعوي عاجل حول خطر ملفات PDF المُرسلة من جهات خارجية، مع التحذير من تفعيل Active Content أو فتح المرفقات قبل التحقق من هوية المُرسل.

الخلاصة

إضافة CISA لسبع ثغرات جديدة إلى قائمة KEV في أبريل 2026 ليست مجرد إشعار تقني — إنها مؤشر مباشر على أن جهات تهديد متقدمة تستغل هذه الثغرات الآن ضد مؤسسات مالية حقيقية. توظيف Storm-1175 لـ Exchange في توصيل Medusa يمثل قفزة نوعية في تكتيكات الهجوم تتطلب استجابة مؤسسية منظمة لا مجرد تصحيح فردي. الموعد النهائي الذي حددته CISA: 27 أبريل 2026.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.