ثغرة ScreenConnect CVE-2024-1708 تعود إلى KEV: تهديد مباشر لمزودي IT للبنوك السعودية

في 28 أبريل 2026، أعادت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) إدراج الثغرة CVE-2024-1708 في منتج ConnectWise ScreenConnect ضمن كتالوج الثغرات النشطة الاستغلال (KEV)، بعد رصد حملات فدية Medusa تستغلها عبر مزودي الخدمة المُدارة. هذا التصنيف يعيد فتح ملف خطر طالما أُهمل في القطاع المالي السعودي: أدوات الوصول البعيد التي يستخدمها مزودو IT الخارجيون.

تشريح ثغرة CVE-2024-1708 وأسلوب الاستغلال

الثغرة عبارة عن خلل من نوع Path Traversal يُعرف تقنياً بـ "Zip Slip"، يحمل تقييم CVSS قدره 8.4، ويصيب الإصدارات السابقة لـ 23.9.8 من ScreenConnect المُستضاف ذاتياً (on-premise). تنبع المشكلة من فشل آلية معالجة الإضافات (Extensions) في التحقق من أسماء الملفات داخل أرشيفات ZIP المُحمَّلة. يستطيع المهاجم تصميم إضافة خبيثة تحتوي على ملفات بمسارات نسبية مثل ../../، فيكتب الخادم تلك الملفات خارج المجلد المُخصص، مما يسمح بإسقاط webshell مباشرة في جذر التطبيق وتنفيذ أوامر بصلاحيات النظام. الأخطر أن المهاجمين يربطون هذه الثغرة عادة بـ CVE-2024-1709 (CVSS 10.0) وهي ثغرة تجاوز مصادقة، مما يمنحهم سلسلة استغلال كاملة من المصادقة إلى تنفيذ التعليمات البرمجية عن بُعد.

من Storm-1175 إلى Medusa: حملة هجومية متجددة

وفق تحليلات Microsoft Threat Intelligence، فإن المجموعة المرتبطة بالصين والمعروفة باسم Storm-1175 تستخدم هذه الثغرة كنقطة دخول أولية في حملات نشر فدية Medusa خلال الربع الثاني من 2026. السيناريو المُلاحظ يبدأ بمسح إنترنت ضوئي للعثور على خوادم ScreenConnect غير المُحدَّثة، ثم استغلال CVE-2024-1709 للحصول على وصول إداري، يلي ذلك تسليح CVE-2024-1708 لزرع webshell ثابت، وأخيراً الانتقال الأفقي عبر شبكة العميل وتشفير الأنظمة الحرجة. الإشكال الجوهري أن ScreenConnect ليس منتجاً نهائياً للبنك، بل أداة يستخدمها مزود الخدمة المُدارة (MSP) لإدارة بنية البنك التحتية، مما يجعل البنك ضحية غير مباشرة لاختراق طرف ثالث.

التأثير على المؤسسات المالية السعودية

السوق السعودي يعتمد بشكل واسع على شركات MSP محلية وإقليمية لإدارة عمليات IT في البنوك المتوسطة وشركات التمويل والوساطة المالية. كثير من هذه الشركات تستخدم ScreenConnect أو منتجات وصول بعيد مماثلة دون إخضاعها لرقابة العميل المباشرة. هذا الواقع يصطدم مباشرة بـ ضابط TPM-1 من إطار SAMA CSCC الذي يلزم البنوك بتقييم الوضع الأمني لمزودي الخدمة قبل التعاقد ومراقبته دورياً، إضافة إلى ضابط TPM-3 الخاص بإدارة مخاطر الوصول عن بُعد. كما يتقاطع التهديد مع متطلبات NCA ECC في الباب الرابع المتعلق بأمن العقود مع الأطراف الخارجية. وفي حال تسرّب بيانات عملاء نتيجة هذا النوع من الاختراقات، فالبنك ملزم بإخطار هيئة حماية البيانات الشخصية وفق المادة 22 من نظام PDPL خلال 72 ساعة، حتى لو كان السبب الجذري في طرف ثالث.

التوصيات والخطوات العملية لفرق الأمن

1. اطلبوا من جميع مزودي الخدمة المُدارة إثبات تحديث ScreenConnect إلى الإصدار 23.9.8 أو أحدث، أو الانتقال إلى نسخة سحابية مُدارة من ConnectWise مع تسليم سجلات التحديث.
2. طبّقوا قائمة عناوين IP بيضاء (allowlisting) صارمة على واجهات إدارة ScreenConnect المعرّضة للإنترنت، واحصروها في عناوين MSP محددة فقط.
3. راجعوا سجلات IIS وWindows Event Logs لخوادم ScreenConnect بحثاً عن إنشاء ملفات بامتدادات .aspx أو .ashx خارج المسار App_Extensions، فهي مؤشر قوي على استغلال ناجح.
4. فعّلوا المصادقة متعددة العوامل (MFA) على جميع حسابات المسؤولين في ScreenConnect كإجراء وقائي ضد سلسلة CVE-2024-1709.
5. أدخلوا بنداً تعاقدياً يلزم MSP بإخطار البنك خلال 24 ساعة عن أي ثغرة CISA KEV مرتبطة بأدواته، وفق متطلبات SAMA CSCC TPM.
6. افصلوا حسابات الوصول البعيد للـ MSP ضمن شبكة معزولة (jump server) مع مراقبة EDR وتسجيل كامل للجلسات في SOC.
7. أجروا تمريناً افتراضياً (tabletop) لسيناريو اختراق MSP يصل إلى الأنظمة المصرفية الجوهرية، واختبروا قدرة فريق الاستجابة على القطع السريع للوصول.

الخلاصة

عودة CVE-2024-1708 إلى قائمة KEV ليست مجرد إشعار تقني، بل تذكير حاسم بأن الأدوات التي يستخدمها مزودو IT لإدارة بنيتك التحتية يمكن أن تتحول إلى أبواب خلفية لمهاجمي الفدية. القطاع المالي السعودي يحتاج إلى نقلة في كيفية فرض الرقابة على سلسلة التوريد الرقمية، وليس مجرد توقيع اتفاقيات SLA على ورق. الامتثال لـ SAMA CSCC في فصل TPM لا يكتمل دون تدقيق فعلي على أدوات الوصول البعيد ذاتها.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى نضج برنامج إدارة مخاطر الأطراف الخارجية (TPRM) لديك ومطابقته لمتطلبات SAMA CSCC وNCA ECC.