ثغرات SEPPMail الحرجة: بوابة البريد الآمن تتحول إلى نقطة اختراق كاملة للمراسلات المؤسسية

كشف باحثون أمنيون من InfoGuard Labs عن سبع ثغرات حرجة في بوابة SEPPMail Secure E-Mail Gateway — المنتج الذي تعتمده مئات المؤسسات المالية والحكومية لتشفير مراسلاتها الإلكترونية. الثغرة الأخطر CVE-2026-2743 حصلت على درجة CVSS 10.0 الكاملة، وتتيح لمهاجم غير مصادق السيطرة الكاملة على الجهاز وقراءة كل رسالة بريدية تمر عبره — مشفّرة كانت أم لا.

تفاصيل الثغرات السبع في بوابة SEPPMail

تتوزع الثغرات المكتشفة على عدة فئات تقنية خطيرة. الثغرة الرئيسية CVE-2026-2743 هي ثغرة اجتياز مسار (Path Traversal) في واجهة نقل الملفات الكبيرة (LFT) الخاصة بواجهة المستخدم، تسمح بكتابة ملفات عشوائية على النظام وصولاً إلى تنفيذ أوامر عن بُعد (RCE). يستغل المهاجم هذه الثغرة بالكتابة فوق ملف إعدادات syslog على المسار /etc/syslog.conf ليحصل على reverse shell بصلاحيات كاملة باستخدام Perl.

الثغرة الثانية CVE-2026-44128 تتيح تنفيذ أوامر عن بُعد دون مصادقة عبر حقن كود Perl مباشرة في مكوّنات المعالجة. أما CVE-2026-44127 فهي ثغرة تضمين ملفات محلية (LFI) تكشف ملفات النظام الحساسة بما فيها رسائل البريد المخزنة على الجهاز. وتأتي CVE-2026-7864 لتكمل المشهد بتسريب متغيرات بيئة الخادم عبر نقطة وصول غير مصادقة في واجهة GINA الجديدة.

سيناريو الهجوم: من ثغرة إلى اعتراض كامل للمراسلات

يبدأ الهجوم بإرسال طلب HTTP مُعدّ خصيصاً إلى واجهة LFT المكشوفة على الإنترنت. يستغل المهاجم ثغرة اجتياز المسار لكتابة ملف إعدادات خبيث يستبدل تكوين syslog الأصلي. عند إعادة تحميل الخدمة، ينشئ الملف الخبيث اتصال reverse shell يمنح المهاجم صلاحيات النظام الكاملة.

بمجرد السيطرة على البوابة، يصبح المهاجم قادراً على قراءة كل رسالة بريدية تمر عبر الجهاز — سواء كانت واردة أو صادرة، مشفّرة أو عادية. كما يمكنه زرع باب خلفي دائم يبقى فعالاً حتى بعد تحديث النظام إن لم يُكتشف، مما يمنحه اعتراضاً صامتاً طويل الأمد لكامل المراسلات المؤسسية.

لماذا هذه الثغرات تهدد المؤسسات المالية السعودية تحديداً

تعتمد عدد من المؤسسات المالية في المنطقة على بوابات تشفير البريد الإلكتروني مثل SEPPMail لتحقيق متطلبات حماية البيانات وفق إطار SAMA CSCC — تحديداً ضوابط تشفير الاتصالات وحماية البيانات أثناء النقل. اختراق بوابة التشفير يعني فقدان كامل ضمانات السرية التي بُنيت عليها استراتيجية حماية المراسلات.

من منظور نظام حماية البيانات الشخصية (PDPL)، فإن اعتراض مراسلات تحتوي بيانات عملاء مصرفيين يُشكّل خرقاً مباشراً لالتزامات حماية البيانات الشخصية، وقد يعرّض المؤسسة لعقوبات تنظيمية وغرامات مالية كبيرة. كما أن إطار NCA ECC يشدد على ضرورة مراجعة حلول التشفير وضمان تحديثها بشكل مستمر ضمن ضوابط إدارة الثغرات.

الإصدارات المتأثرة والتصحيحات المتاحة

أصدرت SEPPMail تصحيحات على مراحل: الإصدار 15.0.2.1 يعالج ثغرة CVE-2026-44128، والإصدار 15.0.3 يعالج CVE-2026-44126، بينما الإصدار 15.0.4 يعالج جميع الثغرات المتبقية بما فيها CVE-2026-2743 الأخطر. أي جهاز يعمل بإصدار أقدم من 15.0.4 يُعتبر عرضة للاستغلال الكامل.

التوصيات والخطوات العملية

1. تحديث فوري إلى الإصدار 15.0.4 أو أحدث: هذا الإجراء غير قابل للتأجيل. كل ساعة تأخير تُبقي بوابة البريد مكشوفة لاستغلال بدرجة CVSS 10.0 لا يتطلب مصادقة.
2. فحص مؤشرات الاختراق (IoCs): راجع ملف /etc/syslog.conf بحثاً عن تعديلات غير مألوفة، وافحص سجلات الوصول لواجهة LFT بحثاً عن طلبات تحتوي أنماط اجتياز مسار مثل ../ في المسارات.
3. عزل بوابة البريد عن الإنترنت المباشر: ضع SEPPMail خلف جدار حماية تطبيقات الويب (WAF) وقيّد الوصول لواجهة الإدارة على عناوين IP الداخلية فقط.
4. مراجعة سجلات البريد للفترة السابقة: إذا كان الجهاز يعمل بإصدار قديم مكشوف على الإنترنت، تعامل معه كجهاز مخترق حتى يثبت العكس. راجع سجلات الاتصالات الصادرة غير المعتادة.
5. تفعيل المراقبة المستمرة: أضف قواعد كشف في نظام SIEM لمراقبة أي محاولات وصول مشبوهة لواجهة LFT وأي تغييرات على ملفات إعدادات النظام.
6. إعادة تقييم اعتمادية بوابة التشفير: وثّق هذا الحادث ضمن سجل المخاطر وقيّم ما إذا كانت بنية التشفير الحالية تحتاج إلى طبقات حماية إضافية أو بديل معماري.

الخلاصة

تكشف ثغرات SEPPMail عن مفارقة خطيرة: الأدوات التي تُنشر لحماية سرية المراسلات قد تتحول هي ذاتها إلى نقطة الاختراق الأخطر. بوابة تشفير بدرجة CVSS 10.0 غير مُحدّثة لا تحمي شيئاً — بل تمنح المهاجم مقعداً في الصف الأول لقراءة كل رسالة. المؤسسات المالية السعودية التي تعتمد هذا المنتج أو ما يشابهه مطالبة بالتحرك الفوري: تحديث، فحص، وإعادة تقييم.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC — بما في ذلك مراجعة شاملة لبوابات تشفير البريد وبنية حماية المراسلات.