CVE-2024-57726/57728: ثغرات SimpleHelp تُسلِّح DragonForce ضد بنوك SAMA

أضافت وكالة CISA الأمريكية ثغرتَي SimpleHelp المُستغلتَين فعلياً (CVE-2024-57726 وCVE-2024-57728) إلى كتالوج KEV مع موعد ترقيع اتحادي في 8 مايو 2026، بعد رصد عصابة DragonForce تستخدمهما كنقطة دخول أولية لهجمات الفدية. وبما أن أدوات الإدارة والمراقبة عن بُعد (RMM) باتت العمود الفقري لتشغيل بنوك SAMA ومزوّدي الخدمات الفنية لديها، فإن هذه الثغرة تعيد فتح ملف مخاطر الطرف الثالث المُغفل في كثير من بيئات الخدمات المالية السعودية.

تشريح ثغرات SimpleHelp وسلسلة الاستغلال

الثغرة الأولى CVE-2024-57726 هي عيب في ضوابط الترخيص (Missing Authorization) يسمح لحساب فني منخفض الصلاحيات بتوليد مفاتيح API بصلاحيات تتجاوز دوره الفعلي، ومن ثم الترقي إلى دور مدير الخادم. أما الثغرة الثانية CVE-2024-57728 فهي ثغرة Path Traversal تُمكّن المهاجم — بعد امتلاكه صلاحيات إدارية — من رفع ملفات مضغوطة إلى مواقع اعتباطية على نظام الملفات، بما يفتح الباب لتنفيذ أكواد عشوائية على الخادم. عندما تُربط الثغرتان معاً، يحصل المهاجم على سيطرة كاملة على خادم SimpleHelp وكل العملاء (Endpoints) المتصلين به، أي على بيئة المؤسسة كاملة.

DragonForce: من سرقة بيانات الاعتماد إلى تشفير البنية التحتية

تتبنّى عصابة DragonForce نموذج "الفدية كخدمة" (RaaS) وتُركّز على الضحايا الذين يديرون شبكاتهم عبر RMM. تكشف تقارير الاستجابة لحوادث الربع الأول من 2026 أن المهاجمين يستغلون SimpleHelp غير المُرقّع للوصول الأولي، ثم ينشرون أدوات Cobalt Strike وMimikatz، وينتقلون أفقياً عبر SMB لتمكين تشفير ملقمات الملفات وقواعد البيانات. كما رُصد دمج تكتيك الابتزاز المزدوج عبر استخراج بيانات العملاء قبل التشفير، وهو ما يُحوّل الحادثة من توقف تقني إلى أزمة امتثال PDPL خاصة عندما تكون البيانات المُسرَّبة معلومات شخصية حساسة.

التأثير على المؤسسات المالية السعودية الخاضعة لـ SAMA

كثير من بنوك SAMA الرقمية ومؤسسات التمويل والتأمين تعتمد على SimpleHelp ومنصات RMM مماثلة (ConnectWise، NinjaOne، Atera) سواء داخلياً أو عبر مزوّدي خدمات IT متعاقَد معهم. هذا الاعتماد يخلق ثلاث فجوات تنظيمية مباشرة: أولاً، ضابط SAMA CSCC 3.4.1 الخاص بإدارة الثغرات يُلزم المؤسسات بترقيع الثغرات الحرجة خلال 30 يوماً وقد ينقصه التغطية الكاملة لأدوات RMM التي تستضيفها أطراف ثالثة. ثانياً، ضابط 3.3.15 المتعلق بأمن الطرف الثالث (TPRM) يستوجب تقييم أمني دوري لمزوّد الخدمة، بينما العقود التقليدية مع شركاء الدعم لا تتضمن التزامات ترقيع زمنية صارمة. ثالثاً، متطلبات NCA ECC-2:2024 ضابط 2-10-1 توجب رصد التفعيل غير الطبيعي لحسابات الإدارة، وهو ما تتخطاه ثغرة CVE-2024-57726 لأنها تُولّد مفاتيح API بصلاحيات شرعية ظاهرياً.

التوصيات والخطوات العملية للاحتواء الفوري

1. الترقية فوراً إلى SimpleHelp 5.5.8 أو أحدث، ومراجعة قائمة الإصدارات المُعرَّضة عبر استعلام أصول CMDB لاستبعاد أي خوادم Shadow IT.
2. تدوير جميع مفاتيح API في خوادم SimpleHelp وإعادة إصدار شهادات الوصول لكل حساب فني، مع تطبيق سياسة "حد أدنى من الصلاحيات" على الأدوار قبل إعادة التشغيل.
3. تفعيل المصادقة متعددة العوامل (MFA) الإلزامية على جميع حسابات SimpleHelp بما فيها الفنيين، وحظر الوصول من خارج النطاقات الجغرافية المعتمدة عبر قائمة عناوين IP بيضاء.
4. صياغة قواعد كشف SIEM/EDR لمراقبة عمليات إنشاء مفاتيح API الجديدة، وأنماط Path Traversal على مسارات /technicians/api/, ومراقبة عمليات رفع ملفات .zip غير المعتادة على الخوادم.
5. تنفيذ صيد التهديدات (Threat Hunting) للبحث عن مؤشرات DragonForce المعروفة: تجزئات Cobalt Strike beacons، ملفات .vmx غير الموقّعة، وعمليات WMI غير المُسجَّلة في خط الأساس.
6. إخطار وحدة SAMA-SOC وفقاً لمتطلبات الإبلاغ خلال 4 ساعات في حال كشف مؤشرات اختراق نشطة، وإطلاق مسار استجابة للحوادث وفق ضابط CSCC 3.3.16.
7. تحديث عقود مزوّدي خدمات IT لتضمين بنود ترقيع زمني محدد (24-72 ساعة للثغرات الحرجة المُستغلة)، وحق التدقيق الفوري عند نشر الترقيعات.

الخلاصة

سلسلة استغلال SimpleHelp ليست حادثة معزولة بل عيّنة من اتجاه أوسع: المهاجمون يستهدفون أدوات الإدارة الموثوقة لتحويلها إلى أبواب خلفية شرعية تتجاوز ضوابط EDR التقليدية. بنوك SAMA التي تعتمد على RMM دون حوكمة صارمة لإدارة الثغرات والطرف الثالث تواجه خطراً مزدوجاً: تعطّل تشغيلي وأزمة امتثال متزامنتين. الترقيع إجراء ضروري لكنه لا يكفي وحده — المطلوب إعادة هندسة دورة حياة أمن RMM ضمن منظومة SAMA CSCC الشاملة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.