تحديث Oracle CPU أبريل 2026: 75 ثغرة في Financial Services تهدد بنوك SAMA

أصدرت شركة Oracle في 22 أبريل 2026 تحديثها الربع‑سنوي الموسّع Critical Patch Update الذي عالج 481 خللاً أمنياً يقابل نحو 450 ثغرة فريدة موزّعة على 28 عائلة منتجات. حصة عائلة Oracle Financial Services Applications وحدها بلغت 75 ترقيعاً — أي 15.6% من إجمالي الإصدار — مما يجعلها ثاني أكثر العائلات تأثراً بعد Oracle Communications.

ماذا يعني الرقم 75 لبنك سعودي يعتمد على Flexcube وOFSAA؟

المنتجات المتأثرة هذه المرة ليست هامشية: Oracle FLEXCUBE Universal Banking وOracle FLEXCUBE Private Banking ومنصة Oracle Financial Services Analytical Applications (OFSAA) وOracle Banking Platform. وبحسب نشرة Oracle الرسمية، فإن 59 من أصل 75 ثغرة قابلة للاستغلال عن بُعد دون الحاجة إلى مصادقة، وهو أعلى تصنيف خطورة في تقييم Oracle لأن المهاجم يمكنه الوصول من شبكة الإنترنت أو من شبكة فرعية داخلية بدون أي بيانات اعتماد. ثغرتان على الأقل تحملان درجة CVSS من 9.1 و9.8 وتؤديان إلى تنفيذ تعليمات برمجية عن بُعد (RCE) على خوادم النواة المصرفية.

سلسلة التوريد البرمجية: المكتبات المفتوحة المصدر داخل Oracle

اللافت في هذا الإصدار أن عدداً من الثغرات الحرجة موروث من مكتبات مفتوحة المصدر مدمجة داخل منتجات Oracle، أبرزها CVE-2023-34034 في Spring Security وCVE-2023-44981 في Apache ZooKeeper. هذا يعني أن إدارة الترقيع لم تعد عملية «تحديث Oracle» فحسب، بل تتطلب تحليل قائمة المواد البرمجية SBOM لكل وحدة وتتبّع المكوّنات الفرعية. المهاجمون يستهدفون هذه الطبقة تحديداً لأن فرق العمليات في البنوك كثيراً ما تفترض أن «المنتج التجاري» محصّن، فيما تظل المكتبات الداخلية بدون رقابة.

التأثير على المؤسسات المالية السعودية ومتطلبات SAMA

غالبية البنوك التجارية السعودية والبنوك الرقمية الناشئة تشغّل وحدات من حزمة Oracle Financial Services في طبقات الـ Core Banking وإدارة المخاطر ومكافحة غسل الأموال (AML). وفق ضابط SAMA Cyber Security Framework في النطاق 3.3.14 (Vulnerability Management) والنطاق 3.3.15 (Patch Management)، تلتزم البنوك بترقيع الثغرات الحرجة خلال نافذة لا تتجاوز 30 يوماً من إصدار التحديث الرسمي، أما الثغرات المُستغَلّة فعلياً فيجب معالجتها خلال 72 ساعة. كذلك يستوجب نظام حماية البيانات الشخصية PDPL إثبات اتخاذ «التدابير الفنية المعقولة» لحماية البيانات المخزّنة، وثغرة RCE في خادم Flexcube تكشف بيانات حسابات العملاء وتعدّ خرقاً مادياً للنظام.

التوصيات والخطوات العملية لفرق GRC والـ SOC

1. قراءة وثيقة Patch Availability Document في My Oracle Support Note CPU59 وتحديد الوحدات المثبتة فعلياً في بيئتك (لا تطبّق ترقيعات على وحدات غير مستخدمة قبل اختبار الانحدار).
2. إنشاء بيان SBOM لكل بيئة Oracle FS Apps وربطه بقاعدة بيانات NVD آلياً للكشف عن المكوّنات المفتوحة المصدر المتأثرة.
3. تطبيق الترقيعات أولاً في بيئات DR/UAT ثم الإنتاج خلال نافذة لا تتجاوز 30 يوماً، مع توثيق كامل لاختبارات الانحدار في سجل الامتثال SAMA.
4. تشديد قواعد جدار التطبيقات WAF أمام بوابات Flexcube وOFSAA لحجب الطلبات غير المصادَقة على نقاط النهاية الإدارية، كإجراء تعويضي ريثما يُطبّق الترقيع.
5. تفعيل المراقبة المستمرة على سجلات Oracle Audit Vault وربطها بـ SIEM المركزي مع قواعد كشف خاصة بمحاولات استغلال Spring وZooKeeper.
6. تحديث سجل المخاطر Risk Register وإبلاغ لجنة المخاطر التشغيلية بحالة الترقيع كما يقتضي ضابط SAMA 1.3.4 (Cyber Risk Reporting).

الخلاصة

تحديث أبريل 2026 ليس مجرد دورة ترقيع روتينية، بل اختبار تشغيلي حقيقي لقدرة البنك السعودي على إدارة سلسلة التوريد البرمجية ضمن نوافذ زمنية قصيرة فرضتها SAMA. المؤسسات التي تتأخر تتعرّض لمسارين متوازيين: استغلال فعلي من قِبل عصابات مثل Storm-1175 التي أثبتت قدرتها على استغلال ثغرات N-day في أقل من 24 ساعة، ومخالفات تنظيمية قد تصل إلى تجميد المنتجات الرقمية الجديدة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومراجعة جاهزية برنامج إدارة الترقيعات لديك.