ثغرات ScreenConnect المستغلة في KEV: تحذير عاجل لبنوك SAMA

في الثامن والعشرين من أبريل 2026، أضافت وكالة CISA الأمريكية ثغرة ConnectWise ScreenConnect المعرّفة بـ CVE-2024-1708 إلى قائمة الثغرات المستغلة فعلياً (KEV)، مع موعد نهائي للإصلاح بحلول الثاني عشر من مايو. الثغرة من نوع Path Traversal بدرجة CVSS تبلغ 8.4، وتُستغل غالباً مقرونة بـ CVE-2024-1709 (Authentication Bypass) بدرجة 10.0 لتحقيق تنفيذ كود عن بُعد كامل على خوادم الإدارة. هذا التهديد يضرب طبقة الإدارة عن بُعد (RMM) المستخدمة لدى موردي خدمات الدعم التقني للبنوك السعودية، ويفتح الباب لهجمات فدية من نوع Medusa.

طبيعة الثغرة وآلية الاستغلال في طبقة RMM

الثغرة الأولى CVE-2024-1708 هي ثغرة Zip Slip كلاسيكية تسمح للمهاجم برفع ملف ZIP خبيث يكتب ملفاته خارج المجلد المقصود، ما يؤدي إلى إسقاط Web Shell في جذر الخادم. الثغرة الثانية CVE-2024-1709 تتيح إنشاء حساب مدير جديد دون الحاجة إلى مصادقة. سيناريو الاستغلال النموذجي يبدأ بإنشاء حساب مدير عبر CVE-2024-1709، ثم رفع امتداد (Extension) خبيث محمّل بشيفرة باستخدام CVE-2024-1708. النتيجة هي سيطرة كاملة على خادم ScreenConnect، وبالتالي على كل جهاز عميل متصل به في البيئة. شركة Microsoft نسبت الاستغلال إلى مجموعة Storm-1175 الصينية، التي توظف هذا الوصول لنشر برمجية الفدية Medusa.

لماذا تستهدف الجهات الخبيثة منصات RMM تحديداً؟

منصات الإدارة عن بُعد مثل ScreenConnect وSimpleHelp وAnyDesk وN-able تمثل هدفاً مثالياً للمهاجمين لثلاثة أسباب جوهرية. أولاً، تمتلك صلاحيات Local SYSTEM على آلاف الأجهزة في البيئة المُدارة، ما يحوّل اختراقاً واحداً إلى هجوم من واحد إلى كثير (one-to-many). ثانياً، تُستخدم عادةً من قِبل موردي خدمات IT خارجيين، ما يضعها في منطقة عمياء بالنسبة لفرق الأمن الداخلية للعميل النهائي. ثالثاً، تتواصل عبر قنوات مشفرة موثوقة، فتمر بسهولة عبر بوابات SOC وأدوات الكشف. هذا المزيج جعل ScreenConnect المسرح المفضل لعصابات الفدية منذ هجمات LockBit و Black Basta في 2024.

التأثير المباشر على بنوك ومؤسسات SAMA

كثير من البنوك السعودية تعتمد على شركات MSP محلية لإدارة فروعها وأجهزة ATM ومحطات العمل في المكاتب الخلفية، وكثير من هؤلاء الموردين يستخدمون ScreenConnect كأداة دعم رئيسية. اختراق خادم ScreenConnect واحد لدى مورد يخدم ثلاثة بنوك يعني وصولاً متزامناً إلى آلاف الأجهزة المصرفية. هذا السيناريو يقع مباشرة ضمن نطاق متطلبات SAMA Cyber Security Framework v1.0 في المجال 3.3.14 (إدارة مخاطر الأطراف الثالثة) و3.3.15 (الاستعانة بمصادر خارجية)، إضافة إلى متطلبات NCA ECC-1:2018 الضابطة 4-2 (الأمن السيبراني للأطراف الخارجية). أي بنك خاضع لرقابة ساما يفشل في إثبات رقابته على طبقة RMM لدى مورديه قد يواجه ملاحظات تدقيقية مباشرة، خاصة مع توجه ساما الأخير في إطار Counter-Fraud Fundamental Requirements 2026 نحو تشديد الرقابة على سلسلة التوريد الرقمية.

التوصيات والخطوات العملية الفورية

1. جرد فوري لاستخدام ScreenConnect: تواصل خلال 48 ساعة مع كل مورد لديك (MSP، MSSP، شركة الصيانة، مزود ATM، مزود الـ POS) واطلب تأكيداً خطياً بإصدار ScreenConnect المستخدم وتاريخ آخر تحديث. الإصدارات الأقل من 23.9.8 معرّضة للثغرتين معاً.
2. التحديث إلى الإصدار 23.9.8 أو أحدث: هذا الإصدار يعالج CVE-2024-1708 و CVE-2024-1709 معاً. أي خادم لم يُحدَّث منذ فبراير 2024 يجب اعتباره مخترقاً مسبقاً (Assume Breach) وفحصه بحثاً عن حسابات Admin مشبوهة وامتدادات غير معتمدة.
3. عزل خوادم RMM شبكياً: ضع خادم ScreenConnect خلف Reverse Proxy مع MFA إجبارية عبر بوابة ZTNA، وامنع الوصول المباشر من الإنترنت. اشترط Allow-listing لعناوين IP الخاصة بمحطات الوصول المعتمدة فقط.
4. مراقبة Indicators of Compromise: ابحث في سجلات SIEM عن: إنشاء ملفات داخل مجلد App_Extensions بشكل غير اعتيادي، عمليات تسجيل دخول لحسابات Admin أُنشئت حديثاً، عمليات PowerShell متفرعة من خدمة ScreenConnect.Service.exe.
5. تضمين RMM في برنامج TPRM: أدرج بنداً صريحاً في عقود الموردين يلزمهم بالإفصاح عن إصدار أدوات RMM المستخدمة، تطبيق التصحيحات خلال 14 يوماً من إصدارها، وإخطار البنك خلال 24 ساعة عند أي حادث أمني يطال بنيتهم. هذا يلبي مباشرة متطلبات SAMA CSCC في إدارة مخاطر الأطراف الثالثة.
6. اختبار اختراق مركّز: أدرج خوادم ScreenConnect الخاصة بموردي الدعم في نطاق اختبار الاختراق السنوي المطلوب وفق ضابط NCA ECC 2-12-3، وليس فقط البنية التحتية الداخلية للبنك.

الخلاصة

إدراج CVE-2024-1708 في قائمة KEV ليس مجرد إشعار تقني، بل تأكيد على أن طبقة RMM أصبحت ساحة معركة فعلية تستخدم لاختراق المؤسسات المالية عبر مورديها. البنوك السعودية التي تكتفي بمراقبة محيطها الخاص دون توسيع الرؤية إلى ScreenConnect وأخواتها لدى موردي الخدمة تترك الباب الخلفي مفتوحاً لمجموعات Storm-1175 و Medusa. متطلبات SAMA CSCC في إدارة الأطراف الثالثة لم تعد ترفاً ورقياً، بل آلية حماية تشغيلية يجب تفعيلها فعلياً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة سلسلة موردي RMM وأدوات الإدارة عن بُعد المستخدمة في بيئتكم.