ثغرة Oracle Identity Manager CVE-2026-21992: تنفيذ أوامر عن بُعد بدون مصادقة تهدد أنظمة الهوية في البنوك السعودية

أصدرت Oracle تحديثاً أمنياً طارئاً خارج دورة التحديثات الربعية لمعالجة ثغرة CVE-2026-21992 في Oracle Identity Manager وOracle Web Services Manager. الثغرة حصلت على تصنيف CVSS 9.8 من 10، وتتيح لأي مهاجم عن بُعد تنفيذ أوامر تعسفية على الخادم بدون الحاجة لأي بيانات اعتماد أو تفاعل من المستخدم — وهو ما يجعلها من أخطر الثغرات التي تواجه أنظمة إدارة الهوية والوصول في القطاع المالي السعودي.

التفاصيل التقنية لثغرة CVE-2026-21992

تكمن الثغرة في مكون REST WebServices داخل Oracle Identity Manager ومكون Web Services Security في Oracle Web Services Manager. السبب الجذري هو غياب آلية المصادقة لوظيفة حرجة (CWE-306: Missing Authentication for Critical Function)، مما يسمح للمهاجم بإرسال طلبات HTTP مصممة خصيصاً إلى الخادم المكشوف وتنفيذ أوامر تعسفية بصلاحيات النظام.

الإصدارات المتأثرة تشمل Oracle Identity Manager 12.2.1.4.0 و14.1.2.1.0، بالإضافة إلى Oracle Web Services Manager بنفس الإصدارات. تعقيد الاستغلال منخفض للغاية، والثغرة قابلة للاستغلال عبر بروتوكول HTTP بدون أي متطلبات مسبقة — لا مصادقة ولا تفاعل من المستخدم — مما يرفع احتمالية الاستغلال الفعلي بشكل كبير.

لماذا أصدرت Oracle تحديثاً طارئاً خارج الدورة الربعية؟

قرار Oracle بإصدار تحديث أمني طارئ (Out-of-Band Security Alert) يعكس خطورة الوضع. عادةً ما تُصدر Oracle تحديثاتها الأمنية ضمن دورة ربعية منتظمة (Critical Patch Update)، لكنها تلجأ للتحديثات الطارئة فقط عندما تكون الثغرة شديدة الخطورة وقابلة للاستغلال الفوري. هذا يعني أن فرق الأمن لا تملك رفاهية الانتظار حتى دورة التحديث القادمة.

Oracle Identity Manager هو نظام أساسي لإدارة دورة حياة الهوية الرقمية في المؤسسات الكبرى، ويتحكم في عمليات إنشاء الحسابات وإلغائها وإدارة الصلاحيات. اختراق هذا النظام يعني فعلياً السيطرة على البنية التحتية الكاملة لإدارة الوصول، بما في ذلك القدرة على إنشاء حسابات مسؤولين جدد أو تصعيد صلاحيات حسابات موجودة.

التأثير المباشر على المؤسسات المالية السعودية

تعتمد كثير من البنوك والمؤسسات المالية في المملكة على Oracle Fusion Middleware كعمود فقري لأنظمة الهوية والوصول. Oracle Identity Manager يُستخدم على نطاق واسع لإدارة صلاحيات الموظفين والعملاء والتحكم في الوصول إلى الأنظمة الأساسية البنكية. استغلال هذه الثغرة في بيئة مصرفية يمكن أن يؤدي إلى سيناريوهات كارثية تشمل: الوصول غير المصرح به إلى الأنظمة الأساسية، تصعيد الصلاحيات لتجاوز الفصل بين المهام (Segregation of Duties)، وسرقة بيانات العملاء المالية.

من منظور تنظيمي، يُلزم إطار SAMA CSCC المؤسسات المالية بتطبيق ضوابط صارمة لإدارة الهوية والوصول (IAM) ضمن نطاق التحكم 3.3 (Identity and Access Management). كما يتطلب إطار NCA ECC ضمن ضابط AC-2 إدارة حسابات المعلومات بشكل محكم. وجود ثغرة بهذه الخطورة في نظام IAM الأساسي يُعتبر مخالفة مباشرة لهذه المتطلبات إذا لم يتم التصحيح الفوري.

سيناريو الهجوم المحتمل

يبدأ المهاجم بمسح الإنترنت بحثاً عن خوادم Oracle Identity Manager المكشوفة عبر المنافذ المعروفة (عادةً 14000 أو 7001). بمجرد اكتشاف خادم متأثر، يُرسل طلب HTTP مُصمم لاستغلال غياب المصادقة في واجهة REST WebServices. نجاح الاستغلال يمنح المهاجم تنفيذ أوامر على مستوى النظام (OS-level command execution)، مما يتيح له زرع أبواب خلفية، استخراج قاعدة بيانات الهوية كاملة، أو التحرك أفقياً داخل الشبكة للوصول إلى أنظمة أخرى.

الخطورة تتضاعف لأن أنظمة إدارة الهوية تحتوي على بيانات حساسة للغاية تشمل: هاشات كلمات المرور، مفاتيح التكامل مع أنظمة Active Directory وLDAP، سياسات الوصول، وسجلات التدقيق. السيطرة على هذا النظام تعادل الحصول على "مفتاح الممالك" لكامل البنية التحتية لتقنية المعلومات.

التوصيات والخطوات العملية

1. تطبيق التحديث فوراً: قم بتحميل وتطبيق التحديث الأمني الطارئ من Oracle على جميع أنظمة Identity Manager وWeb Services Manager المتأثرة. لا تنتظر دورة التحديث الربعية القادمة.
2. تقييد الوصول الشبكي: تأكد من أن واجهات إدارة Oracle Identity Manager غير مكشوفة مباشرة على الإنترنت. استخدم قوائم التحكم بالوصول (ACLs) وجدران الحماية لتقييد الوصول إلى عناوين IP محددة وشبكات الإدارة فقط.
3. مراجعة سجلات الوصول: افحص سجلات الوصول لخوادم Oracle Identity Manager للبحث عن طلبات REST غير اعتيادية أو محاولات وصول مشبوهة خلال الفترة الماضية، خاصة من عناوين IP خارجية.
4. تفعيل WAF مع قواعد مخصصة: أضف قواعد حماية مخصصة في جدار حماية تطبيقات الويب (WAF) لفلترة الطلبات المشبوهة الموجهة لمسارات REST API الخاصة بـ Identity Manager.
5. تدقيق الحسابات والصلاحيات: أجرِ مراجعة شاملة لجميع الحسابات والصلاحيات المُدارة عبر Identity Manager للتحقق من عدم وجود حسابات مشبوهة أو تصعيد غير مبرر للصلاحيات.
6. إبلاغ فريق الامتثال: وثّق الثغرة وإجراءات المعالجة المتخذة ضمن سجل إدارة الثغرات لتلبية متطلبات SAMA CSCC الخاصة بالتحكم في الثغرات الأمنية (Vulnerability Management).

الخلاصة

ثغرة CVE-2026-21992 تُذكّرنا بأن أنظمة إدارة الهوية والوصول ليست مجرد أدوات إدارية — بل هي أهداف عالية القيمة للمهاجمين. التحديث الطارئ من Oracle يعكس حجم الخطر الفعلي، والمؤسسات المالية السعودية التي تعتمد Oracle Fusion Middleware يجب أن تتعامل مع هذا التحديث بأولوية قصوى خلال الساعات القادمة وليس الأيام.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتدقيق شامل لأنظمة إدارة الهوية والوصول.