ثغرتان حرجتان في MOVEit Automation: تجاوز المصادقة وتصعيد الصلاحيات يهددان أنظمة نقل الملفات المالية

كشفت شركة Progress Software عن ثغرتين أمنيتين حرجتين في منتجها MOVEit Automation — الأداة التي تعتمد عليها مئات المؤسسات المالية حول العالم لأتمتة عمليات نقل الملفات الحساسة. الثغرة الأولى CVE-2026-4670 بتقييم CVSS 9.8 تتيح تجاوز المصادقة بالكامل، والثانية CVE-2026-5174 بتقييم 7.7 تمكّن من تصعيد الصلاحيات — وعند تسلسلهما معاً، يحصل المهاجم على سيطرة إدارية كاملة دون الحاجة لأي بيانات اعتماد.

تفاصيل ثغرة تجاوز المصادقة CVE-2026-4670

تكمن الثغرة في واجهة منفذ الأوامر الخلفية (Service Backend Command Port) لمنصة MOVEit Automation، حيث تقبل الواجهة مدخلات وتعالجها قبل تنفيذ آلية المصادقة. هذا الخلل التصميمي يعني أن مهاجماً على الشبكة يستطيع إرسال أوامر إدارية مباشرة إلى الخادم دون تقديم اسم مستخدم أو كلمة مرور. التعقيد المنخفض للهجوم (Attack Complexity: Low) وعدم الحاجة لتفاعل المستخدم يجعلان هذه الثغرة قابلة للاستغلال الآلي على نطاق واسع، وهو ما يذكّرنا بكارثة MOVEit Transfer في 2023 التي طالت أكثر من 2,700 مؤسسة عالمياً.

ثغرة تصعيد الصلاحيات CVE-2026-5174: المُضاعِف الخطير

الثغرة الثانية ناتجة عن ضعف في التحقق من المدخلات (Improper Input Validation)، وتسمح لمهاجم حاصل على صلاحيات محدودة بتصعيدها إلى مستوى إداري كامل. الخطورة الحقيقية تظهر عند تسلسل الثغرتين: يستخدم المهاجم CVE-2026-4670 للدخول بدون مصادقة، ثم CVE-2026-5174 للحصول على أعلى مستوى من الصلاحيات. النتيجة: وصول كامل إلى بيانات الاعتماد المخزنة في مهام MOVEit Automation، والملفات الحساسة المنقولة عبر النظام بما فيها كشوف الرواتب والتقارير المالية وملفات التسويات البنكية، إضافة إلى إمكانية التوسع الأفقي داخل شبكة المؤسسة.

الإصدارات المتأثرة والتحديثات المتوفرة

تطال الثغرتان إصدارات MOVEit Automation التالية: الإصدار 2025.1.4 (17.1.4) وما قبله، والإصدار 2025.0.8 (17.0.8) وما قبله، والإصدار 2024.1.7 (16.1.7) وما قبله. أصدرت Progress Software تحديثات أمنية في 4 مايو 2026 تشمل الإصدارات المصحّحة 2025.1.5 و2025.0.9 و2024.1.8. أي مؤسسة تشغّل إصداراً أقدم من هذه الأرقام معرّضة للاستغلال الفوري.

لماذا يجب أن تقلق المؤسسات المالية السعودية تحديداً

تعتمد كثير من البنوك وشركات التأمين والمؤسسات المالية في المملكة على حلول نقل الملفات المُدار (Managed File Transfer - MFT) لتبادل البيانات الحساسة مع الجهات التنظيمية والشركاء والعملاء. ضوابط الأمن السيبراني الصادرة عن البنك المركزي السعودي (SAMA CSCC) تشترط في البند 3.3.3 ضمان أمن قنوات نقل البيانات وتشفيرها، وفي البند 3.4.7 تطبيق مبدأ الحد الأدنى من الصلاحيات. ثغرة تجاوز المصادقة في MOVEit تنتهك كلا المتطلبين مباشرة. كذلك، يُلزم نظام حماية البيانات الشخصية (PDPL) المؤسسات بحماية البيانات الشخصية أثناء النقل والتخزين — واختراق نظام MFT يعني تسريباً محتملاً لبيانات آلاف العملاء مع عقوبات تصل إلى 5 ملايين ريال.

دروس من كارثة MOVEit 2023 لم تُستوعب بعد

استغلت مجموعة Cl0p ثغرة MOVEit Transfer في صيف 2023 لسرقة بيانات أكثر من 95 مليون شخص من 2,700 مؤسسة. ما يثير القلق أن الثغرات الجديدة في MOVEit Automation تتبع نفس النمط: خلل في المصادقة يمنح وصولاً مباشراً للملفات الحساسة. المؤسسات التي لم تراجع بنيتها التحتية لنقل الملفات بعد حادثة 2023 تجد نفسها أمام نفس السيناريو مجدداً، لكن هذه المرة في مكوّن الأتمتة الذي غالباً ما يعمل بصلاحيات أعلى ويتصل بأنظمة متعددة.

التوصيات والخطوات العملية

1. التحديث الفوري: رقّ جميع مثيلات MOVEit Automation إلى الإصدارات المصحّحة (2025.1.5 أو 2025.0.9 أو 2024.1.8) خلال 48 ساعة كحد أقصى — هذه ثغرة بتقييم 9.8 ولا تحتمل التأجيل.
2. عزل منفذ الأوامر الخلفي: تأكد من أن Service Backend Command Port غير مكشوف للشبكات غير الموثوقة عبر قواعد جدار الحماية، وطبّق تجزئة الشبكة (Network Segmentation) لعزل خوادم MFT.
3. مراجعة السجلات: افحص سجلات الوصول لخوادم MOVEit Automation منذ 4 مايو بحثاً عن محاولات اتصال غير مصرّح بها على منفذ الأوامر الخلفي، خاصة من عناوين IP خارجية.
4. تدوير بيانات الاعتماد: غيّر فوراً جميع كلمات المرور وبيانات الاعتماد المخزنة في مهام MOVEit Automation، بما فيها مفاتيح SFTP وبيانات اتصال قواعد البيانات.
5. تقييم بدائل MFT: إذا كانت مؤسستك قد تأثرت بثغرات MOVEit للمرة الثانية، فقد حان الوقت لتقييم حلول MFT بديلة تدعم بنية Zero Trust مع مصادقة متعددة العوامل إلزامية على مستوى البروتوكول.
6. اختبار اختراق مستهدف: نفّذ اختبار اختراق يركّز على بنية نقل الملفات ويحاكي سيناريو تسلسل الثغرتين للتحقق من فعالية الضوابط التعويضية.

الخلاصة

ثغرات MOVEit Automation الجديدة ليست مجرد تكرار لحادثة 2023 — بل هي تصعيد خطير يستهدف مكوّن الأتمتة الذي يعمل عادة بصلاحيات موسّعة ويتصل بأنظمة حرجة متعددة. المؤسسات المالية التي تعتمد على أي إصدار غير محدّث من MOVEit Automation تواجه خطراً حقيقياً ومباشراً لتسريب بيانات مالية وشخصية على نطاق واسع. التحديث ليس خياراً — إنه متطلب تشغيلي وتنظيمي.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لبنية نقل الملفات وفحص مدى النضج السيبراني وفق SAMA CSCC.