CVE-2026-0300 في Palo Alto: تنفيذ جذري يهدد جدران بنوك SAMA

أعلنت Palo Alto Networks في 6 مايو 2026 عن ثغرة حرجة (CVE-2026-0300) في بوابة المصادقة User-ID Authentication Portal ضمن نظام PAN-OS تُتيح لمهاجم غير مصادَق تنفيذ شيفرة برمجية بصلاحيات الجذر عن بُعد. الثغرة تُستغَل فعلياً في الواقع، والتصحيح لن يصدر قبل 13 مايو — مما يضع جدران الحماية المحيطية لبنوك SAMA في وضع زيرو-داي حقيقي.

تفاصيل الثغرة التقنية في PAN-OS

الثغرة من نوع Out-of-Bounds Write (CWE-787) تنشأ في خدمة User-ID Authentication Portal — المعروفة سابقاً باسم Captive Portal — التي تستخدمها المؤسسات لربط هوية المستخدم بسياسات جدار الحماية عبر صفحة مصادقة ويب. يستطيع المهاجم إرسال حِزَم مُصاغة بعناية لتجاوز حدود الذاكرة وإحداث Buffer Overflow ينتهي بتنفيذ شيفرة بصلاحيات root على الجهاز. درجة CVSS تبلغ 9.3 عند تعريض البوابة للإنترنت، و8.7 عند حصرها داخل شبكات موثوقة، والاستغلال قابل للأتمتة وفق Palo Alto.

الأنظمة المتأثرة ونطاق الانتشار

الثغرة تُصيب أجهزة PA-Series الفيزيائية وVM-Series الافتراضية المُهيَّأة لاستخدام بوابة User-ID. الخبر الجيد أن خدمات Prisma Access وCloud NGFW وأجهزة Panorama الإدارية ليست متأثرة. لكن المشكلة أن غالبية البنوك السعودية تستخدم PA-Series كطبقة حماية محيطية أساسية أمام التطبيقات المصرفية الإلكترونية وقنوات API المالية، وكثير منها يفعّل بوابة Captive Portal لمصادقة الموظفين الميدانيين والمستخدمين عبر VPN — ما يجعل سطح الهجوم أوسع مما يبدو للوهلة الأولى.

التأثير على المؤسسات المالية الخاضعة لـSAMA

اختراق جدار الحماية المحيطي عبر هذه الثغرة يعني وصول كامل إلى البنية التحتية الداخلية: قواعد بيانات العملاء، أنظمة المدفوعات، اتصالات SWIFT، وأنظمة Core Banking. هذا يخالف بنود متعددة في إطار SAMA Cyber Security Framework خصوصاً المجال 3.3 (Cyber Security Operations) و3.3.13 (Vulnerability Management) الذي يُلزم البنوك بترقيع الثغرات الحرجة خلال 72 ساعة من اكتشافها. كما يتقاطع مع متطلبات NCA ECC في الضوابط 2-10 (إدارة الثغرات) و2-12 (الحماية من البرمجيات الخبيثة)، ومتطلبات PCI-DSS v4.0 في القسم 6.3.3 الخاص بترقيع الأنظمة المعرَّضة للإنترنت. أي اختراق يستهدف بيانات العملاء سيُفعِّل أيضاً التزامات الإفصاح وفق نظام حماية البيانات الشخصية (PDPL) المادة 30، وقد يُسبب غرامات تشغيلية وسمعة لا يمكن تعويضها.

التوصيات والخطوات العملية الفورية

1. تقييم التعرض خلال 24 ساعة: راجع جميع أجهزة PA-Series وVM-Series في المؤسسة وحدِّد ما إذا كانت بوابة User-ID Authentication Portal مفعَّلة عبر استعلام show user-id-portal-cfg.
2. تطبيق الإجراءات التخفيفية فوراً: قَيِّد الوصول إلى البوابة على المناطق الموثوقة فقط (Trusted Zones)، أو عطِّلها بالكامل إذا لم تكن ضرورية للعمليات. لا تنتظر الترقيع.
3. تفعيل Threat Prevention Signature 511193: توفِّر Palo Alto توقيعاً للحماية في Applications and Threats content version 8995-9943 أو أحدث — يجب التحقق من تفعيله ضمن سياسات Vulnerability Protection.
4. مراجعة سجلات GlobalProtect وUser-ID: ابحث عن طلبات HTTP غير معتادة على منفذ Captive Portal، خصوصاً حِزَم بأحجام كبيرة أو رؤوس مشوهة قد تُشير لمحاولات استغلال.
5. تجهيز نافذة ترقيع طارئة: خطِّط لتطبيق التحديث فور إصداره في 13 مايو 2026، مع إخطار لجنة التغيير (Change Advisory Board) واتباع متطلبات SAMA CSCC 3.3.6 لإدارة التغيير الطارئ.
6. إبلاغ وحدة الاستجابة للحوادث الوطنية: في حال اكتشاف مؤشرات اختراق، التواصل مع NCA SOC وفرق CERT المحلية وفق متطلبات الإبلاغ في إطار NCA ECC.

الخلاصة

ثغرة CVE-2026-0300 ليست تهديداً نظرياً — هي زيرو-داي تُستغل الآن ضد جدران Palo Alto المعرَّضة للإنترنت، ومدة الانتظار حتى الترقيع تُمثل فجوة سبعة أيام يجب على فِرَق الأمن في بنوك SAMA إدارتها بإجراءات تخفيفية صارمة. الترقيع وحده لا يكفي؛ المطلوب مراجعة شاملة لتعرض جدران الحماية وممارسات إدارة الهوية المرتبطة بها.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.