CVE-2026-33694: ثغرة Nessus Agent تمنح SYSTEM لمخترقي بنوك SAMA

في 23 أبريل 2026، أصدرت Tenable تحديث Nessus Agent 11.1.3 لمعالجة ثغرة خطيرة (CVE-2026-33694) تتيح للمهاجم المحلي رفع صلاحياته إلى مستوى SYSTEM على أنظمة ويندوز. المفارقة المؤلمة هنا: الأداة المستخدمة أصلاً لاكتشاف الثغرات أصبحت بنفسها بوابة اختراق محتملة للبنوك السعودية الخاضعة لرقابة SAMA.

تشريح ثغرة CVE-2026-33694: عندما تخون أداة الفحص أصحابها

تنتمي الثغرة إلى عائلة Junction Symlink Attacks، وهي فئة معروفة من ثغرات تصاعد الصلاحيات على ويندوز. تستغل خللاً في كيفية تعامل خدمة Nessus Agent مع روابط junction أثناء عمليات حذف الملفات، إذ تتبع الخدمة الرابط دون التحقق الكافي من المسار الفعلي. درجة CVSSv3 الأساسية بلغت 8.2 وCVSSv4 سجلت 7.4، ما يضع الثغرة في تصنيف "خطر مرتفع". الإصدارات المتأثرة هي 11.1.2 وما قبلها على ويندوز حصراً، بينما لم تتأثر النسخ على Linux وmacOS.

سيناريو الاستغلال على بيئة بنكية سعودية

يبدأ الهجوم بحصول المهاجم على وصول محلي عادي — قد يكون عبر تصيد موظف أو جلسة RDP مخترقة لمقاول خارجي. يقوم المهاجم بعد ذلك بزرع رابط junction في مسار يتفاعل معه Nessus Agent بصلاحيات SYSTEM، فتتحول عملية الحذف الروتينية إلى أداة لتدمير ملفات حساسة في النظام. تتحوّل النتيجة بسرعة من مجرد حذف ملف إلى تنفيذ كود عشوائي بصلاحيات كاملة، إذ يستطيع المهاجم بعدها التحرك أفقياً نحو خوادم Active Directory أو أنظمة المدفوعات SADAD وSARIE أو نظم Core Banking المرتبطة بمنظومة المدفوعات السعودية.

التأثير على المؤسسات المالية السعودية الخاضعة لـ SAMA CSCC

تُعدّ Nessus من أكثر أدوات إدارة الثغرات انتشاراً في القطاع المصرفي السعودي، إذ تستخدمها فرق Vulnerability Management لتلبية متطلبات الضابط 3.3.13 من إطار SAMA CSCC الخاص بالفحص الدوري للثغرات. وجود ثغرة في الأداة نفسها يعني أن أي عميل Nessus Agent غير مُحدَّث على محطات الموظفين أو الخوادم يمثل نقطة تصاعد صلاحيات جاهزة للاستغلال. وفقاً للضابط 2-3 من ECC 2:2024 الصادر عن NCA، يجب على المؤسسات إدارة الصلاحيات بصرامة ومنع أي مسار غير مصرح لتصاعد الامتيازات. كما أن الضابط 3.3.14 من SAMA CSCC حول حماية النقاط الطرفية يفرض تحديث جميع وكلاء الأمن خلال فترة زمنية محددة من إصدار التصحيحات.

التوصيات والخطوات العملية

1. الترقية الفورية لجميع عملاء Nessus Agent على ويندوز إلى الإصدار 11.1.3 أو أحدث، مع التركيز أولاً على خوادم DMZ ومحطات فرق الخزينة والتشغيل والمصرفية الإلكترونية.
2. تنفيذ استعلام موجَّه باستخدام Get-Service "Tenable Nessus Agent" عبر PowerShell Remoting لحصر جميع المحطات التي تشغّل العميل، وربط النتائج مع نظام إدارة الأصول CMDB.
3. تفعيل سياسة AppLocker أو Windows Defender Application Control لمنع تنفيذ ثنائيات غير موقعة من المسارات المؤقتة التي قد يستخدمها المهاجم لزرع روابط junction.
4. مراقبة سجلات Sysmon Event ID 11 (FileCreate) و12-13 (RegistryEvent) في مسار C:\ProgramData\Tenable\ بحثاً عن أنشطة junction مشبوهة، وتغذية SIEM (Splunk أو QRadar) بقواعد كشف مخصصة.
5. تحديث خطة الاستجابة للحوادث IRP لتشمل سيناريو إساءة استخدام أدوات الأمن نفسها كخطوط هجوم، وفق متطلبات الضابط 4-1 من SAMA CSCC حول إدارة حوادث الأمن السيبراني.
6. إجراء مراجعة شاملة لجميع الحسابات بصلاحيات SYSTEM أو Domain Admin التي تعمل عليها وكلاء الفحص الأمني، وتطبيق مبدأ الحد الأدنى من الامتيازات Just-In-Time Access.

الدرس الأكبر: أدوات الدفاع تحتاج دفاعاً

تكشف هذه الحادثة عن نقطة عمياء استراتيجية في كثير من برامج الأمن السيبراني السعودية: التركيز على ثغرات أنظمة الإنتاج مع إهمال أمن أدوات الأمن نفسها. وكلاء EDR وNessus Agents وSCCM وأدوات النسخ الاحتياطي تعمل جميعها بصلاحيات مرتفعة، وأي ثغرة فيها تعادل اختراقاً مباشراً للسلطة العليا في الشبكة. هذا النوع من المخاطر يجب أن يدخل ضمن نطاق Trust Boundary Analysis في تقييمات المخاطر السنوية وفق متطلبات SAMA، مع توثيق صريح لكل وكيل برمجي مرتفع الصلاحيات وجدول التصحيح الخاص به.

الخلاصة

CVE-2026-33694 ليست مجرد ثغرة في أداة، بل تذكير حاد بأن السطح الهجومي للمؤسسات المالية يتجاوز التطبيقات وأنظمة التشغيل ليشمل البنية التحتية الأمنية ذاتها. التأخر في تحديث Nessus Agent اليوم يعني فتح باب لتحرك أفقي قد ينتهي بكوارث في أنظمة المدفوعات والبيانات الحساسة للعملاء، مع تبعات تنظيمية وسمعة لا يمكن التهاون فيها أمام البنك المركزي.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة شاملة لإدارة الثغرات وأمن أدوات الفحص في بيئتك.