ثغرة MOVEit Automation الحرجة CVE-2026-4670: تجاوز المصادقة يهدد بنوك SAMA

في 4 مايو 2026، كشفت Progress Software عن ثغرة حرجة في منتج MOVEit Automation تحمل المعرّف CVE-2026-4670 وتُتيح للمهاجمين غير المصادَقين تجاوز ضوابط الوصول بالكامل عن بُعد. بالنظر إلى الاعتماد الواسع لمنتجات MOVEit في القطاع المالي السعودي لتبادل الملفات بين البنوك والموردين والمقاصة، تُعدّ هذه الثغرة تهديداً مباشراً لأي مؤسسة خاضعة لإطار SAMA Cyber Security Cyber Compliance (CSCC).

تفاصيل ثغرة CVE-2026-4670 ونمط الاستغلال

تقع الثغرة في طبقة المصادقة الخاصة بواجهة MOVEit Automation الإدارية، وتنتج عن خلل في التحقق من رموز الجلسات (Session Tokens) يسمح للمهاجم بصياغة طلب HTTP خاص يتجاوز فحص الاعتماديات. النتيجة: حصول طرف خارجي على صلاحيات مشغّل آلي قادر على إنشاء وتعديل وحذف مهام نقل الملفات. وقد أكدت Progress إصدار التصحيح ضمن نشرة أمنية مرافقة لـ CVE-2026-5174 التي تُتيح تصعيد الامتيازات بعد الدخول الأولي، مما يجعل سلسلة الاستغلال (Exploit Chain) كاملة من الوصول إلى السيطرة الكاملة.

تشير بيانات Shodan إلى وجود أكثر من 1,400 نسخة من MOVEit مكشوفة على الإنترنت، بعضها يخدم مؤسسات حكومية ومالية. ولأن الثغرة لا تتطلب اعتماديات صحيحة، فإن نافذة الاستغلال الجماعي ضيقة جداً، ويُتوقع ظهور أكواد PoC خلال أيام معدودة على غرار ما حدث مع CVE-2023-34362 سابقاً.

لماذا تُعدّ MOVEit بنية حرجة في القطاع المالي السعودي

تستخدم البنوك والشركات المالية في المملكة منصات MOVEit لنقل الملفات الحساسة مع البنك المركزي السعودي ومنظومة سريع وشركات SAMA Payments وشركاء PCI-DSS. أي اختراق لهذه المنصة يعني تعرّض ملفات SWIFT وملفات تسوية البطاقات وتقارير AML المُرسلة إلى وحدة التحريات المالية. كما أن الحادثة التاريخية لـ MOVEit Transfer في 2023 طالت أكثر من 2,100 منظمة عالمياً بينها بنوك كبرى، وهو ما يُذكّر بحجم الأثر المحتمل عند تجاهل التحديث.

التأثير على المؤسسات المالية السعودية والامتثال لـ SAMA CSCC

إطار SAMA CSCC يُلزم المؤسسات بضبط مخاطر الطرف الثالث وفق الضابط 3.3.14 (Third Party Cyber Security)، وضبط إدارة الثغرات وفق 3.3.10 (Vulnerability Management) خلال نوافذ زمنية صارمة. كذلك يفرض الضابط 3.3.15 حول Cryptography حماية الملفات أثناء النقل، وهو ما يفقد قيمته إذا اخترق المهاجم منصة النقل ذاتها. عدم الترقيع خلال 72 ساعة من نشر التصحيح الحرج قد يُصنَّف عدم امتثال جوهري قابل للإفصاح في تقارير SAMA Cyber Security Maturity. على صعيد PDPL، فإن أي تسريب لبيانات شخصية للعملاء عبر MOVEit يُلزم المؤسسة بإخطار الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) خلال 72 ساعة. أما NCA ECC فيتقاطع هنا في الضوابط 2-10 الخاصة بالتطبيقات الحرجة و4-1 بإدارة الحوادث.

التوصيات والخطوات العملية لفِرق الأمن السيبراني

1. تطبيق تصحيح Progress فوراً على جميع نسخ MOVEit Automation، وتأكيد رقم الإصدار بعد الترقية مقابل النشرة الأمنية الرسمية.
2. عزل واجهة الإدارة عن الإنترنت العام عبر VPN أو ZTNA، وتقييد الوصول إلى نطاقات IP داخلية محددة فقط.
3. تفعيل MFA إلزامي على جميع حسابات MOVEit الإدارية والتشغيلية ومراجعة الحسابات الخامدة.
4. البحث في سجلات MOVEit و WAF عن مؤشرات الاختراق (IoCs): طلبات إلى مسارات /api/ بدون مصادقة، عمليات إنشاء مهام جديدة خارج ساعات العمل، تحميل ملفات .aspx أو webshells.
5. مراجعة قواعد بيانات MOVEit بحثاً عن مستخدمين مُضافين حديثاً أو مفاتيح API غير معروفة.
6. تفعيل قواعد كشف خاصة في SOC وSIEM لمراقبة شذوذ حركة الملفات الكبيرة الخارجة، وربطها مع UEBA.
7. إجراء تقييم تأثير على الموردين الذين يستخدمون MOVEit لتبادل الملفات معكم وإلزامهم بإثبات الترقيع.
8. توثيق الحادثة وإجراء Tabletop Exercise مبني على سيناريو اختراق MOVEit ضمن خطة الاستجابة.

الخلاصة

ثغرة CVE-2026-4670 ليست مجرد تحديث روتيني؛ بل اختبار عملي لجاهزية المؤسسات المالية السعودية في إدارة سلسلة التوريد الرقمية ضمن متطلبات SAMA. السرعة في الترقيع، الكشف الاستباقي، وعزل واجهات الإدارة هي العناصر الفاصلة بين عملية روتينية وحادثة إفصاح إلزامي.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.