ثغرة MOVEit الحرجة CVE-2026-4670: تجاوز المصادقة يهدد ملفات المؤسسات المالية

كشفت شركة Progress Software عن ثغرة أمنية حرجة في منصة MOVEit Automation لنقل الملفات المُدار، تحمل المعرّف CVE-2026-4670 بتقييم خطورة 9.8 من 10 على مقياس CVSS. الثغرة تتيح لمهاجم غير مصادق الحصول على صلاحيات إدارية كاملة عبر طلب شبكي واحد — وهو ما يضع أنظمة نقل الملفات الحساسة في المؤسسات المالية أمام خطر مباشر.

تفاصيل ثغرة تجاوز المصادقة في MOVEit Automation

تكمن المشكلة في آلية معالجة الطلبات الواردة إلى منفذ الأوامر الخلفي (Backend Command Port) في خدمة MOVEit Automation. عند إرسال طلب مُصاغ بشكل خاص، يقوم النظام بمعالجته قبل تنفيذ أي منطق للمصادقة، مما يمنح المهاجم وصولاً إدارياً كاملاً يشمل صلاحيات القراءة والكتابة، والتحكم في جداول المهام المؤتمتة، والقدرة على إعادة توجيه عمليات نقل الملفات إلى وجهات يسيطر عليها المهاجم دون أي إنذار.

الإصدارات المتأثرة تشمل MOVEit Automation قبل الإصدارات 2025.1.5 و2025.0.9 و2024.1.8. وقد أصدرت Progress تصحيحات أمنية لجميع الإصدارات المدعومة، مؤكدة أن الترقية عبر المُثبّت الكامل هي الطريقة الوحيدة للمعالجة.

تسلسل الهجوم: من تجاوز المصادقة إلى السيطرة الكاملة

الخطورة تتضاعف عند ربط هذه الثغرة بثغرة ثانية تحمل المعرّف CVE-2026-5174، وهي ثغرة تصعيد صلاحيات تؤثر على نفس نطاق الإصدارات. في سيناريو الهجوم المركّب، يستغل المهاجم CVE-2026-4670 للحصول على جلسة إدارية دون مصادقة، ثم يستخدم CVE-2026-5174 لتصعيد صلاحياته إلى مستوى مكافئ لصلاحيات root — مما يعني سيطرة كاملة على المنصة بخطوتين فقط ودون الحاجة لأي بيانات اعتماد.

هذا النمط من الهجوم المركّب يتيح للمهاجم الوصول إلى بيانات الاعتماد المخزنة في مهام MOVEit، واستخراج بيانات الأعمال الحساسة كالتقارير المالية وملفات الرواتب، واستخدام المنصة كنقطة انطلاق للتحرك الجانبي داخل الشبكة المؤسسية.

لماذا يجب أن تقلق المؤسسات المالية السعودية تحديداً؟

تعتمد كثير من البنوك وشركات التأمين والمؤسسات المالية في المملكة على حلول نقل الملفات المُدار (MFT) مثل MOVEit لتبادل البيانات الحساسة — من التقارير التنظيمية المرسلة إلى SAMA، إلى ملفات التسوية بين البنوك، وكشوف الرواتب، وتقارير الامتثال الدوري. اختراق هذه المنصة يعني تعريض بيانات مالية وشخصية محمية بموجب نظام حماية البيانات الشخصية PDPL للسرقة أو التلاعب.

إطار SAMA CSCC في ضوابط إدارة الوصول (Access Management) ومراقبة الأنظمة الحرجة يُلزم المؤسسات بضمان عدم وجود نقاط وصول غير مصادق عليها في البنية التحتية. ثغرة بهذه الخطورة في نظام نقل ملفات مركزي تمثل انتهاكاً مباشراً لهذه الضوابط إذا لم تُعالج فوراً. كما أن إطار NCA ECC يشدد على ضرورة تطبيق التصحيحات الأمنية الحرجة خلال إطار زمني محدد لا يتجاوز أسابيع.

دروس من اختراق MOVEit 2023: التاريخ لا يرحم المتأخرين

لا يمكن الحديث عن ثغرات MOVEit دون استحضار كارثة 2023، حين استغلت مجموعة Cl0p ثغرة حقن SQL في MOVEit Transfer لسرقة بيانات أكثر من 2,700 مؤسسة حول العالم، شملت بنوكاً وشركات تأمين وجهات حكومية. تلك الحادثة كلّفت المؤسسات المتضررة مئات الملايين من الدولارات في تكاليف الاستجابة والتعويضات والغرامات التنظيمية.

اليوم، مع CVE-2026-4670 بتقييم CVSS 9.8 وإمكانية تسلسل الهجوم مع CVE-2026-5174، فإن نافذة الاستغلال مفتوحة أمام مجموعات الفدية وعصابات سرقة البيانات. Progress أكدت أنها لم ترصد استغلالاً نشطاً حتى الآن، لكن التجربة تُثبت أن الفارق بين الإعلان عن الثغرة وبدء الاستغلال الجماعي قد لا يتجاوز أياماً.

التوصيات والخطوات العملية

1. الترقية الفورية: حدّث MOVEit Automation إلى الإصدار 2025.1.5 أو 2025.0.9 أو 2024.1.8 باستخدام المُثبّت الكامل (Full Installer). الترقية التراكمية غير كافية لمعالجة هذه الثغرة.
2. تدقيق سجلات الوصول: راجع سجلات MOVEit Automation للبحث عن أي طلبات غير اعتيادية إلى منفذ الأوامر الخلفي خلال الأسابيع الماضية، خاصة الاتصالات من عناوين IP خارجية غير معروفة.
3. تقييد الوصول الشبكي: تأكد من أن منفذ الأوامر الخلفي لـ MOVEit Automation غير مكشوف للإنترنت، وقيّد الوصول إليه من خلال قواعد جدار الحماية بحيث يقتصر على العناوين الداخلية الموثوقة فقط.
4. مراجعة بيانات الاعتماد المخزنة: غيّر جميع كلمات المرور وبيانات الاعتماد المخزنة في مهام MOVEit Automation كإجراء احترازي، خاصة تلك المستخدمة للاتصال بقواعد البيانات وخوادم SFTP.
5. تفعيل المراقبة المستمرة: فعّل تنبيهات SOC لرصد أي محاولات وصول غير مصادق عليها أو تغييرات في جداول المهام أو إعادة توجيه لمسارات نقل الملفات.
6. تقييم مخاطر سلسلة التوريد: راجع جميع حلول نقل الملفات المُدار في بيئتك وتحقق من تحديثها، وأدرج هذا التقييم ضمن إطار إدارة مخاطر الطرف الثالث وفق متطلبات SAMA CSCC.

الخلاصة

ثغرة CVE-2026-4670 تذكير صارخ بأن أنظمة نقل الملفات المُدار ليست مجرد أدوات تشغيلية — بل هي شرايين حيوية تمر عبرها أكثر البيانات حساسية في المؤسسة. التأخر في التصحيح لا يعني فقط التعرض لاختراق تقني، بل يعني مخاطر تنظيمية جسيمة وفق ضوابط SAMA CSCC وNCA ECC، وانتهاكات محتملة لنظام PDPL قد تترتب عليها غرامات وتبعات قانونية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة شاملة لأنظمة نقل الملفات وضوابط الوصول في بيئتك.