ثغرتان في Progress ShareFile تسمحان بسرقة ملفات المؤسسات المالية دون مصادقة

كشف باحثون أمنيون من شركة watchTowr عن سلسلة ثغرات حرجة في منصة Progress ShareFile — إحدى أكثر حلول نقل الملفات المؤسسية انتشاراً — تتيح للمهاجمين تجاوز المصادقة بالكامل، وتنفيذ أوامر عن بُعد، وسرقة كل ملف يُرفع إلى المنصة دون أي تفاعل من المستخدم. مع وجود أكثر من 30,000 خادم Storage Zone Controller مكشوف على الإنترنت العام، فإن المؤسسات المالية السعودية التي تعتمد على هذه المنصة أمام تهديد مباشر.

تفاصيل الثغرتين: من تجاوز المصادقة إلى السيطرة الكاملة

تتكوّن سلسلة الهجوم من ثغرتين متكاملتين تستهدفان مكوّن Storage Zones Controller (SZC) في الإصدار 5.x من ShareFile. الثغرة الأولى CVE-2026-2699 هي ثغرة تجاوز مصادقة (Authentication Bypass) ناتجة عن معالجة غير سليمة لعمليات إعادة التوجيه HTTP، تمنح المهاجم وصولاً كاملاً إلى واجهة إدارة ShareFile دون الحاجة لأي بيانات اعتماد. بمجرد الدخول، يستطيع المهاجم تعديل إعدادات منطقة التخزين بما في ذلك مسارات الملفات ومفاتيح التشفير وعبارات المرور الأمنية.

الثغرة الثانية CVE-2026-2701 تمكّن من تنفيذ أوامر عن بُعد (Remote Code Execution) عبر استغلال آلية رفع الملفات واستخراجها لزرع ملفات ASPX خبيثة (Webshells) في جذر تطبيق الويب. الجمع بين الثغرتين يمنح المهاجم سيطرة كاملة على الخادم دون أي مصادقة مسبقة — وهو ما يُعرف بسلسلة هجوم Pre-Auth RCE.

آلية سرقة الملفات: اختطاف مستودع التخزين

ما يجعل هذه الثغرات أشد خطورة هو أسلوب الاستغلال المتقدم الذي كشفه الباحثون. بعد تجاوز المصادقة، يستطيع المهاجم تغيير وجهة مستودع التخزين (Storage Repository) الخاص بالضحية ليُشير إلى حاوية AWS S3 Bucket يتحكم بها المهاجم. النتيجة: كل ملف يُرفع أو يُزامَن مع المنصة بعد ذلك يُرسل تلقائياً إلى خوادم المهاجم. هذا يعني أن وثائق العملاء، والتقارير المالية، وعقود الامتثال، وبيانات البطاقات — كلها قد تُسرّب دون أن يلاحظ أحد.

أصدرت Progress تحديثاً أمنياً في الإصدار 5.12.4 بتاريخ 10 مارس 2026، لكن تجربة القطاع تُظهر أن كثيراً من المؤسسات تتأخر في تطبيق التحديثات على أنظمة نقل الملفات لأنها تُعدّ "أنظمة مستقرة" لا تحتاج صيانة متكررة — وهذا بالضبط ما يستغله المهاجمون.

التأثير على المؤسسات المالية السعودية

تستخدم العديد من المؤسسات المالية في المملكة منصات نقل ملفات مؤسسية مثل ShareFile لتبادل المستندات الحساسة مع الجهات الرقابية والعملاء والشركاء. استغلال هذه الثغرات قد يؤدي إلى انتهاكات مباشرة لعدة أُطر تنظيمية:

من منظور SAMA CSCC، تنتهك هذه الثغرة متطلبات إدارة الثغرات الأمنية (Vulnerability Management) ومتطلبات حماية البيانات أثناء النقل والتخزين. كما أن عدم تطبيق التحديث الأمني خلال الإطار الزمني المحدد يُعدّ مخالفة صريحة. أما بموجب نظام حماية البيانات الشخصية PDPL، فإن تسريب بيانات العملاء عبر منصة نقل ملفات غير محدّثة يُعرّض المؤسسة لعقوبات مالية وإدارية. وفيما يخص PCI-DSS، فإن أي مؤسسة تنقل بيانات حاملي البطاقات عبر ShareFile دون التحديث تخرق المتطلب 6.3.3 المتعلق بتطبيق التصحيحات الأمنية الحرجة خلال 30 يوماً.

التوصيات والخطوات العملية

1. التحديث الفوري: ترقية جميع مثيلات Storage Zones Controller إلى الإصدار 5.12.4 أو أحدث. هذا ليس اختيارياً — الثغرة مكشوفة علنياً وأدوات الاستغلال متاحة.
2. فحص السجلات بأثر رجعي: مراجعة سجلات الوصول (Access Logs) لمكوّن SZC منذ يناير 2026 بحثاً عن محاولات وصول غير اعتيادية لواجهة الإدارة أو تغييرات في إعدادات منطقة التخزين.
3. التحقق من تكوين التخزين: التأكد من أن مستودع التخزين لا يزال يُشير إلى الوجهة الأصلية المعتمدة وليس إلى حاوية S3 خارجية مجهولة.
4. تقييد الوصول الشبكي: وضع مكوّن Storage Zones Controller خلف WAF وتقييد الوصول إلى واجهة الإدارة عبر قوائم IP مسموح بها فقط.
5. جرد أنظمة نقل الملفات: إجراء جرد شامل لجميع حلول نقل الملفات المؤسسية (ShareFile, MOVEit, GoAnywhere, Accellion) والتأكد من تحديثها جميعاً — فهذه الفئة أصبحت هدفاً رئيسياً للمهاجمين منذ حوادث MOVEit في 2023.
6. تفعيل المراقبة المستمرة: إعداد تنبيهات SIEM لرصد أي تغيير في تكوين منصات نقل الملفات أو محاولات رفع ملفات ASPX غير معتادة.

الخلاصة

ثغرات Progress ShareFile تُذكّرنا بأن أنظمة نقل الملفات المؤسسية أصبحت من أخطر نقاط الهجوم على المؤسسات المالية. من MOVEit إلى GoAnywhere إلى ShareFile، يستهدف المهاجمون هذه المنصات تحديداً لأنها تحتوي على أكثر البيانات حساسية وغالباً ما تُهمل في دورات التحديث. المؤسسات المالية السعودية مطالبة بمعاملة هذه الأنظمة كأصول حرجة وإخضاعها لنفس مستوى الرقابة المطبّق على الأنظمة المصرفية الأساسية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل فحصاً شاملاً لأنظمة نقل الملفات وإدارة الثغرات.