ثغرتان حرجتان في Progress ShareFile تُتيحان RCE بلا مصادقة: 30 ألف نظام مكشوف عالمياً

كشف باحثو الأمن في شركة watchTowr عن ثغرتين حرجتين في Progress ShareFile — أداة نقل الملفات المؤسسية المستخدمة على نطاق واسع في القطاع المالي — تُتيحان معاً لمهاجم غير مصادَق تنفيذ أكواد خبيثة عن بُعد والاستيلاء الكامل على الخادم. مع وجود ما يزيد على 30,000 نظام مكشوف على الإنترنت العام، تُشكّل هذه الثغرات خطراً مباشراً على أي مؤسسة مالية لم ترقِّع أنظمتها بعد.

تفاصيل الثغرتين: تجاوز المصادقة + تنفيذ الأكواد

اكتشف الباحثون الثغرتين في مكوّن Storage Zones Controller (SZC) الخاص بالإصدار 5.x من Progress ShareFile. الأولى، CVE-2026-2699 (CVSS 9.8)، هي ثغرة تجاوز مصادقة ناتجة عن معالجة غير سليمة لتوجيهات HTTP، تمنح المهاجم دخولاً مباشراً إلى واجهة إدارة ShareFile دون أي بيانات اعتماد. بمجرد الدخول، يستطيع المهاجم تعديل إعدادات منطقة التخزين، بما فيها مسارات الملفات وعبارات المرور الحساسة.

الثانية، CVE-2026-2701 (CVSS 9.1)، تُكمل الهجوم برمّته؛ إذ تُستغل بعد اختراق المصادقة لرفع ملفات ASPX خبيثة (Web Shells) إلى جذر التطبيق على الخادم، مما يمنح المهاجم تنفيذاً كاملاً للأكواد عن بُعد. الجمع بين الثغرتين يُحوّل أداة نقل الملفات الموثوقة إلى نقطة دخول كاملة لشبكة المؤسسة.

حجم التعرّض وسرعة الاستغلال المتوقعة

رصدت مؤسسة ShadowServer أكثر من 700 نظام ShareFile SZC مكشوف مباشرة على الإنترنت، غالبيتها في الولايات المتحدة وأوروبا، في حين رصدت watchTowr ما يقارب 30,000 نظام بشكل أشمل. الأخطر من العدد هو التوقيت: نشر باحثو watchTowr تفاصيل تقنية كاملة ومفصّلة عن سلسلة الاستغلال، مما يعني أن أدوات الاستغلال ستكون متاحة لمجموعات التهديد خلال أيام أو ساعات. تاريخياً، استغلّت مجموعات برامج الفدية مثل Cl0p ثغرات مشابهة في برامج نقل الملفات — كـ MOVEit وGoAnywhere — في غضون أقل من 48 ساعة من الإفصاح العلني.

الإصلاح متاح بالفعل ضمن الإصدار 5.12.4 الصادر في 10 مارس 2026، غير أن الفارق الزمني بين الإصلاح والتطبيق الفعلي في المؤسسات لا يزال يُشكّل نافذة خطر حرجة.

التأثير على المؤسسات المالية في المملكة العربية السعودية

يُستخدم Progress ShareFile في مؤسسات مالية عديدة لنقل وثائق العملاء، وعقود التمويل، وتقارير الامتثال، وملفات KYC الحساسة. استغلال هاتين الثغرتين يُعرّض المؤسسة لمخاطر متعددة في آنٍ واحد: تسريب بيانات العملاء بما ينتهك متطلبات نظام حماية البيانات الشخصية (PDPL)، وتعطّل خدمات نقل الملفات مما يؤثر على الاستمرارية التشغيلية التي يُلزم بها إطار SAMA CSCC (المجال الرابع: حماية أصول المعلومات والتقنية)، فضلاً عن استخدام الخادم المخترق كنقطة انطلاق للتحرك الجانبي داخل الشبكة وصولاً إلى الأنظمة الأساسية. كما أن إطار NCA ECC يُلزم المؤسسات بإدارة صارمة للثغرات وتطبيق التحديثات الأمنية في مهل زمنية محددة — وهو ما يجعل التأخر في الترقية مخالفةً تنظيمية صريحة.

التوصيات والخطوات العملية

1. الترقية الفورية: رقِّع جميع أنظمة Progress ShareFile Storage Zones Controller إلى الإصدار 5.12.4 أو أحدث دون تأخير. أعطِ هذه المهمة أولوية قصوى في قائمة التصحيحات هذا الأسبوع.
2. جرد الأنظمة المكشوفة: استخدم أدوات مثل Shodan أو Censys أو runZero لتحديد أي نسخة من SZC مكشوفة للإنترنت العام داخل بنيتك التحتية، وافصلها فوراً إن تعذّرت الترقية.
3. مراجعة سجلات الوصول: ابحث في سجلات IIS وسجلات ShareFile عن طلبات HTTP غير مألوفة تستهدف مسارات الإدارة، ولا سيما الطلبات التي تتضمّن توجيهات 301/302 غير متوقعة أو رفع ملفات ASPX.
4. تفعيل قواعد WAF: إن لم يكن بالإمكان تطبيق الترقية فوراً، فعِّل قواعد Web Application Firewall للكشف عن محاولات تجاوز المصادقة واستهداف مسارات SZC الإدارية.
5. تقييم بدائل نقل الملفات: للمؤسسات التي تعتمد على ShareFile لنقل بيانات العملاء الحساسة، فكِّر في مراجعة بدائل مُصنَّفة للبيئات عالية المخاطر مثل GoAnywhere MFT (بعد ترقيته) أو Axway SFTP مع ضوابط صارمة.
6. تحديث خطة الاستجابة للحوادث: تأكّد من أن فريقك يمتلك إجراءات واضحة للتعامل مع اختراق محتمل عبر أنظمة نقل الملفات، بما يشمل عزل الخادم المتأثر وإخطار الجهات التنظيمية وفق متطلبات SAMA CSCC.

الخلاصة

CVE-2026-2699 وCVE-2026-2701 ليستا مجرد ثغرتين تقنيتين — بل هما تذكير حاد بأن أدوات نقل الملفات التي تُعدّها المؤسسات "مساعدة" وهامشية كثيراً ما تكون أكثر نقاط الضعف خطورة في البنية التحتية. مجموعات الفدية تعرف ذلك جيداً، ولهذا استهدفت MOVEit وGoAnywhere وAccellion قبلها. الترقية الفورية إلى الإصدار 5.12.4 ليست خياراً — إنها التزام تنظيمي وأمني لا يحتمل التأجيل.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.