ScreenConnect تحت نار Kimsuky وAPT28: ثغرة الوصول عن بعد التي تستغلها دول ومهلة CISA تنتهي اليوم

أضافت وكالة الأمن السيبراني الأمريكية CISA ثغرتين حرجتين إلى كتالوج الثغرات المستغلة فعلياً (KEV)، بعد رصد مجموعة Kimsuky الكورية الشمالية ومجموعة APT28 الروسية وهما تستغلان ثغرة ConnectWise ScreenConnect CVE-2024-1708 وثغرة Windows Shell CVE-2026-32202 في حملات تجسس نشطة. الموعد النهائي للمعالجة الذي حددته CISA هو اليوم 12 مايو 2026 — والمؤسسات المالية السعودية التي تستخدم أدوات الوصول عن بعد في خطر مباشر.

ما هي ثغرة ScreenConnect CVE-2024-1708؟

تصنّف هذه الثغرة كخلل في اجتياز المسار (Path Traversal) بدرجة خطورة CVSS 8.4، وتصيب جميع إصدارات ConnectWise ScreenConnect قبل الإصدار 25.3.1. يكمن الخلل في عدم تنظيف مدخلات مسارات الملفات في معالجات الطلبات، مما يسمح للمهاجم بالتنقل عبر بنية المجلدات وكتابة ملف خبيث في مسار تحميل الإضافات الذي يقرأه ScreenConnect تلقائياً عند التشغيل. النتيجة: تنفيذ أكواد خبيثة عن بعد (RCE) بصلاحيات خدمة ScreenConnect — دون الحاجة لتفاعل المستخدم بعد المصادقة الأولية.

من يستغل الثغرة وكيف؟

رصدت CISA وفرق استخبارات التهديدات استغلالاً نشطاً من جهتين حكوميتين. مجموعة Kimsuky — المعروفة أيضاً بأسماء Thallium وVelvet Chollima والمرتبطة بجهاز الاستخبارات الكوري الشمالي — تستخدم الثغرة لزرع أبواب خلفية في شبكات المؤسسات المستهدفة وسرقة بيانات الاعتماد. أما مجموعة APT28 الروسية (Fancy Bear) فتستغل ثغرة Windows Shell المرتبطة CVE-2026-32202 — وهي ناتجة عن ترقيع غير مكتمل لثغرة سابقة CVE-2026-21510 — في حملات استهدفت أوكرانيا ودولاً أوروبية قبل أن تتوسع جغرافياً. الجمع بين الثغرتين يمنح المهاجمين سلسلة استغلال متكاملة: اختراق عبر ScreenConnect ثم تثبيت حمولات خبيثة عبر Windows Shell.

لماذا تهم هذه الثغرة المؤسسات المالية السعودية؟

أدوات الوصول عن بعد مثل ScreenConnect وTeamViewer وAnyDesk تُستخدم على نطاق واسع في القطاع المالي السعودي لدعم تقنية المعلومات والمقاولين الخارجيين وفرق SOC. إطار SAMA CSCC في ضوابط إدارة الوصول عن بعد (الفرع 3.3.6) يلزم المؤسسات بتطبيق مبدأ الحد الأدنى من الصلاحيات وتسجيل جميع جلسات الوصول عن بعد ومراجعتها دورياً. كذلك يشترط إطار NCA ECC في ضوابط إدارة الثغرات (2-7-3) معالجة الثغرات الحرجة المدرجة في كتالوج CISA KEV خلال إطار زمني محدد. أي تأخير في ترقيع هذه الثغرة يعني مخالفة تنظيمية مباشرة بالإضافة للمخاطر التقنية.

الخطر الأكبر أن كثيراً من عمليات نشر ScreenConnect في المنطقة تتم عبر مزودي خدمات مُدارة (MSPs) يخدمون عدة مؤسسات مالية في وقت واحد. اختراق مزود واحد يعني وصولاً فورياً لعشرات العملاء — وهو سيناريو هجوم سلسلة الإمداد الذي حذرت منه SAMA مراراً في تعميماتها الأخيرة.

التوصيات والخطوات العملية

1. ترقية فورية: حدّث ConnectWise ScreenConnect إلى الإصدار 25.3.1 أو أحدث فوراً. إذا كنت تستخدم النسخة السحابية، تحقق مع ConnectWise أن بيئتك محدّثة.
2. مسح شامل لمؤشرات الاختراق (IOCs): افحص سجلات ScreenConnect بحثاً عن ملفات إضافات غير معروفة أو طلبات تحتوي أنماط اجتياز مسار مثل ../ في مسارات الملفات المرفوعة.
3. تقييد الوصول الشبكي: ضع خوادم ScreenConnect خلف VPN أو قائمة سماح IP صارمة. لا تعرضها مباشرة للإنترنت.
4. تدقيق جلسات الوصول عن بعد: راجع جميع الجلسات النشطة والمنتهية خلال آخر 30 يوماً بحثاً عن أنشطة مشبوهة أو جلسات من مواقع جغرافية غير متوقعة.
5. ترقيع Windows Shell: طبّق تحديثات مايو 2026 من Microsoft لمعالجة CVE-2026-32202 بالتوازي مع ترقيع ScreenConnect.
6. مراجعة مزودي الخدمات المُدارة: إذا كنت تعتمد على MSP يستخدم ScreenConnect، اطلب تأكيداً خطياً بتطبيق الترقيع وتقريراً عن أي نشاط مشبوه.
7. تفعيل قواعد SIEM: أضف قواعد كشف لمؤشرات Kimsuky وAPT28 المعروفة في أنظمة SIEM وEDR، وفعّل تنبيهات لأي محاولة تحميل إضافات جديدة في ScreenConnect.

الخلاصة

استغلال مجموعات تجسس حكومية لأدوات الوصول عن بعد ليس تهديداً نظرياً — إنه واقع موثّق بأدلة CISA. المؤسسات المالية السعودية التي تتأخر في ترقيع ScreenConnect اليوم لا تخاطر فقط باختراق تقني، بل بمخالفة صريحة لمتطلبات SAMA CSCC وNCA ECC في إدارة الثغرات الحرجة. الموعد النهائي لـ CISA هو اليوم 12 مايو — وكل ساعة تأخير تمنح Kimsuky وAPT28 فرصة إضافية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتدقيق أدوات الوصول عن بعد في بيئتك.