هجمات فدية تتجاوز MFA على أجهزة SonicWall VPN: ست خطوات يدوية تفصلك عن الاختراق

مجموعات الفدية تستغل ثغرة CVE-2024-12802 في أجهزة SonicWall Gen6 SSL-VPN لتجاوز المصادقة متعددة العوامل (MFA) والوصول إلى الشبكات الداخلية خلال 30 دقيقة فقط — والأخطر أن الأجهزة تبدو "محدّثة" في سجلات المراقبة رغم أنها مخترقة فعلياً.

ثغرة CVE-2024-12802: عندما يفشل التحديث في الحماية

كشف باحثو ReliaQuest بين فبراير ومارس 2026 عن أول استغلال فعلي لثغرة CVE-2024-12802 في بيئات إنتاجية متعددة. الثغرة تكمن في خلل بآلية فرض MFA عند تسجيل الدخول بصيغة User Principal Name (UPN) مقابل صيغة Security Account Manager (SAM) عند التكامل مع Microsoft Active Directory. بمعنى أبسط: المهاجم الذي يمتلك بيانات اعتماد صالحة يستطيع تسجيل الدخول مباشرةً دون الحاجة لرمز MFA بمجرد استخدام صيغة UPN بدلاً من SAM.

أصدرت SonicWall تحديثاً للبرنامج الثابت (firmware) في 2025، لكن هنا تكمن المفاجأة: التحديث وحده لا يكفي. على أجهزة Gen6 تحديداً، يتطلب إغلاق الثغرة بالكامل تنفيذ ست خطوات إعادة تهيئة يدوية بعد تثبيت التحديث. في جميع البيئات التي حققت فيها ReliaQuest، كانت الأجهزة التي تجاوزت هذه الخطوات مُستغلة فعلياً رغم أن سجلاتها تُظهر حالة "محدّث".

تشريح الهجوم: من القوة الغاشمة إلى الفدية في ساعة واحدة

يبدأ المهاجمون بهجمات القوة الغاشمة (brute-force) لاختبار بيانات الاعتماد المسروقة من تسريبات سابقة أو عمليات التصيد. بمجرد العثور على بيانات صالحة، يستغلون ثغرة تجاوز MFA للدخول إلى شبكة VPN. ما يجعل هذا الهجوم خبيثاً بشكل استثنائي هو أن محاولات الدخول غير المشروعة تظهر في السجلات كتدفق MFA طبيعي، مما يجعل فرق الأمن تعتقد أن المصادقة متعددة العوامل تعمل بشكل سليم بينما هي مُتجاوَزة كلياً.

بعد الوصول الأولي، يستغرق المهاجم بين 30 إلى 60 دقيقة لإجراء استطلاع الشبكة الداخلية، واختبار إعادة استخدام بيانات الاعتماد على الأنظمة الداخلية، ثم نشر أدوات التحكم عن بُعد تمهيداً لتنفيذ هجوم الفدية. تتوافق أنماط الهجوم مع تكتيكات مجموعة Akira Ransomware التي استهدفت عملاء SonicWall بشكل متكرر منذ 2025.

نهاية الدعم تعني نهاية الأمان

زادت خطورة الوضع بشكل كبير بعد أن وصلت أجهزة SonicWall Gen6 إلى نهاية عمرها الافتراضي (End-of-Life) في 16 أبريل 2026. هذا يعني أن SonicWall لم تعد تصدر تحديثات أمنية أو تدعم هذه الأجهزة تقنياً. أي ثغرة جديدة يتم اكتشافها لن تحصل على تصحيح رسمي، مما يحوّل كل جهاز Gen6 متصل بالإنترنت إلى نقطة دخول مفتوحة للمهاجمين.

المشكلة أن كثيراً من المؤسسات — خصوصاً في القطاع المالي — لا تزال تشغّل أجهزة Gen6 بسبب تكلفة الترقية أو تعقيد عمليات الهجرة. هذا التأخير لم يعد مقبولاً في ظل الاستغلال النشط الحالي.

التأثير على المؤسسات المالية السعودية

تعتمد عشرات المؤسسات المالية في المملكة العربية السعودية على حلول SonicWall VPN لتوفير الوصول عن بُعد لموظفيها وشركائها. يشكّل هذا الهجوم تهديداً مباشراً لمتطلبات إطار SAMA CSCC الذي يُلزم المؤسسات المالية بضمان فعالية ضوابط المصادقة متعددة العوامل (القسم 3.3.7) وإدارة الثغرات والتحديثات الأمنية بشكل استباقي (القسم 3.3.3). كما أن ضوابط NCA ECC تتطلب صراحةً مراجعة دورية لفعالية ضوابط الوصول عن بُعد وعدم الاعتماد على التحديثات التلقائية فقط.

الأخطر من ذلك أن تجاوز MFA يعني احتمال وصول المهاجمين إلى بيانات العملاء المالية، وهو ما يُعد انتهاكاً صريحاً لنظام حماية البيانات الشخصية (PDPL) ويعرّض المؤسسة لعقوبات تنظيمية ومالية جسيمة. كما أن متطلبات PCI-DSS v4.0 (المتطلب 8.4) تشترط أن تكون MFA فعّالة فعلياً وليس مجرد مُفعّلة شكلياً.

التوصيات والخطوات العملية

1. التحقق الفوري من أجهزة SonicWall Gen6: لا تكتفِ بالتحقق من إصدار firmware. نفّذ الخطوات الست اليدوية الموثقة في إرشاد SonicWall الرسمي (SNWLID-2024-0019) لإغلاق مسار تجاوز MFA بالكامل.
2. مراجعة سجلات VPN للفترة السابقة: ابحث عن أنماط تسجيل دخول مشبوهة باستخدام صيغة UPN، خصوصاً من عناوين IP غير معتادة أو في أوقات غير اعتيادية. تذكّر أن الهجمات تظهر كتدفق MFA طبيعي في السجلات.
3. وضع خطة ترقية عاجلة: إذا كنت لا تزال تشغّل أجهزة Gen6، فالترقية إلى Gen7 أو حلول VPN بديلة لم تعد اختيارية. حدد جدولاً زمنياً لا يتجاوز 90 يوماً للهجرة الكاملة.
4. تعزيز المراقبة على نقاط الوصول عن بُعد: فعّل تنبيهات SOC المتقدمة لرصد محاولات القوة الغاشمة وأنماط الوصول غير الطبيعية على بوابات VPN، مع التركيز على مقارنة صيغ UPN وSAM في محاولات التسجيل.
5. اختبار فعالية MFA بشكل مستقل: لا تعتمد على افتراض أن MFA تعمل لأنها مُفعّلة. أجرِ اختبار اختراق مركّز على آليات المصادقة للتحقق من عدم وجود مسارات تجاوز.
6. تطبيق مبدأ عدم الثقة (Zero Trust): استكمل حماية VPN بحلول Zero Trust Network Access (ZTNA) التي تتحقق من هوية الجهاز والمستخدم والسلوك في كل طلب وصول، وليس فقط عند نقطة الدخول.

الخلاصة

ثغرة SonicWall CVE-2024-12802 تُذكّرنا بحقيقة خطيرة: التحديث الأمني ليس دائماً مرادفاً للحماية الكاملة. عندما يتطلب التصحيح خطوات يدوية إضافية ولا تُنفَّذ، تتحول الأجهزة "المحدّثة" إلى أبواب خلفية مفتوحة. مع وصول أجهزة Gen6 لنهاية عمرها ومجموعات الفدية مثل Akira في حالة استغلال نشط، لم يعد التأخير في الترقية أو التحقق خياراً مقبولاً لأي مؤسسة مالية تخضع لرقابة SAMA.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة شاملة لضوابط الوصول عن بُعد وفعالية MFA.