ثغرة strongSwan CVE-2026-25075: تعطيل شبكات VPN بدون مصادقة يهدد البنية التحتية المالية

كشف باحثون أمنيون عن ثغرة خطيرة في منصة strongSwan المستخدمة على نطاق واسع لإدارة اتصالات VPN من نوع IPsec، تحمل المعرّف CVE-2026-25075 بتصنيف خطورة 7.5 على مقياس CVSS. الثغرة موجودة منذ الإصدار 4.5.0 الصادر قبل أكثر من 15 عاماً، وتسمح لمهاجم غير مصادق بتعطيل خدمة IKE daemon بالكامل عبر إرسال رسالة EAP-TTLS مُعدّة خصيصاً، مما يُسقط جميع أنفاق VPN المتصلة بالخادم دفعة واحدة.

التفاصيل التقنية للثغرة: Integer Underflow في EAP-TTLS

تكمن المشكلة في إضافة eap-ttls plugin التي تعالج حزم Attribute-Value Pairs (AVPs) المُنقولة داخل بروتوكول EAP-TTLS أثناء مرحلة المصادقة في IKEv2. عند استقبال حزمة AVP، لا يتحقق الكود من حقل الطول (Length) الموجود في ترويسة الحزمة قبل إجراء عملية الطرح الرياضية. هذا الغياب في التحقق يؤدي إلى حالة Integer Underflow حيث تتحول القيمة السالبة إلى رقم ضخم بسبب طبيعة الأعداد غير المُوقّعة (unsigned integers)، مما يدفع النظام لمحاولة تخصيص أو قراءة كتلة ذاكرة بحجم هائل.

النتيجة الفورية هي انهيار عملية charon daemon المسؤولة عن إدارة جميع اتصالات IKEv2/IPsec. بمجرد توقف هذه العملية، تنقطع جميع أنفاق VPN النشطة — سواء كانت اتصالات site-to-site بين الفروع أو اتصالات remote access للموظفين عن بُعد. الأخطر أن الاستغلال لا يتطلب أي بيانات اعتماد، إذ يحدث خلال مرحلة المصادقة نفسها قبل التحقق من هوية المتصل.

النطاق المتأثر: 15 عاماً من الإصدارات المعرّضة

تتأثر جميع إصدارات strongSwan من 4.5.0 وحتى 6.0.4، وهو نطاق زمني يمتد من عام 2011 حتى مارس 2026. هذا يعني أن أي مؤسسة تستخدم strongSwan لبناء بوابات VPN الخاصة بها — وهو سيناريو شائع في البنوك وشركات التأمين ومقدمي الخدمات المالية الذين يفضلون حلول IPsec مفتوحة المصدر — معرّضة للخطر ما لم تُحدّث إلى الإصدار 6.0.5 الذي أصدره فريق strongSwan في 23 مارس 2026.

نشرت شركة Bishop Fox أداة فحص مفتوحة المصدر على GitHub تحت اسم CVE-2026-25075-check تسمح لفرق الأمن بفحص خوادمها وتحديد ما إذا كانت معرّضة للاستغلال. هذه الأداة تُسهّل عملية الجرد السريع خاصةً في البيئات التي تضم عشرات بوابات VPN الموزعة جغرافياً.

التأثير على المؤسسات المالية السعودية

تعتمد المؤسسات المالية الخاضعة لرقابة SAMA على شبكات VPN كعمود فقري لتأمين الاتصالات بين الفروع ومراكز البيانات ومنصات الدفع الإلكتروني. تعطيل بوابة VPN مركزية يعني توقف أنظمة التحويلات المالية بين الفروع، وانقطاع وصول فرق العمليات عن بُعد، وتعطّل قنوات الاتصال المشفرة مع الجهات التنظيمية وشبكات SWIFT.

من منظور إطار SAMA CSCC، تندرج هذه الثغرة ضمن عدة نطاقات رقابية. نطاق "إدارة الثغرات" (Vulnerability Management) يُلزم المؤسسات بتطبيق التصحيحات الأمنية الحرجة خلال أطر زمنية محددة. كذلك يتطلب نطاق "أمن الشبكات" (Network Security) ضمان استمرارية وسلامة قنوات الاتصال المشفرة. أما ضوابط NCA ECC فتشترط في البند المتعلق بأمن البنية التحتية إجراء تقييمات دورية لمكونات الشبكة الحرجة وتوثيق خطط المعالجة.

لماذا هذه الثغرة أخطر مما تبدو

رغم أن تصنيف CVSS 7.5 يضعها في خانة "عالية الخطورة" وليس "حرجة"، إلا أن عدة عوامل تجعلها أخطر في السياق العملي. أولاً، سهولة الاستغلال: رسالة شبكية واحدة كافية لتعطيل الخادم بالكامل. ثانياً، لا حاجة لبيانات اعتماد أو وصول مسبق. ثالثاً، التأثير المتسلسل (cascading impact) حيث يؤثر تعطيل خادم VPN واحد على عشرات أو مئات الاتصالات المعتمدة عليه. رابعاً، إمكانية استخدامها كغطاء لهجوم أوسع — يُعطّل المهاجم شبكة VPN لإرباك فريق الاستجابة بينما يُنفّذ اختراقاً من مسار آخر.

في سياق هجمات الفدية الحديثة، شهدنا مجموعات مثل Interlock وBlackSuit تستهدف معدات الشبكات كنقطة دخول أولية. ثغرة من هذا النوع قد تُستخدم لتعطيل VPN المؤسسة ثم استغلال الفوضى الناتجة للتسلل عبر قنوات بديلة أقل حماية.

التوصيات والخطوات العملية

1. التحديث الفوري إلى strongSwan 6.0.5: هذا الإصدار يضيف التحقق المطلوب من حقل الطول قبل عملية الطرح. إذا كان التحديث الفوري غير ممكن، فطبّق الإجراء المؤقت بتعطيل EAP-TTLS إذا لم يكن مستخدماً فعلياً في بيئتك.
2. جرد شامل لبوابات VPN: استخدم أداة Bishop Fox المتاحة على GitHub لفحص جميع خوادم strongSwan في بيئتك. وثّق النتائج ضمن سجل إدارة الثغرات المطلوب بموجب SAMA CSCC.
3. مراجعة آليات التوافر العالي (High Availability): تأكد من وجود خوادم VPN احتياطية تعمل في وضع Active-Passive أو Active-Active بحيث لا يؤدي تعطيل خادم واحد لانقطاع كامل.
4. تفعيل مراقبة IKE daemon: أضف قواعد مراقبة في SIEM الخاص بك تكشف عن إعادة تشغيل متكررة لعملية charon أو فقدان مفاجئ لعدد كبير من أنفاق IPsec — وهي مؤشرات اختراق (IoCs) محتملة لاستغلال هذه الثغرة.
5. اختبار خطة استمرارية الأعمال: نفّذ تمريناً على طاولة (tabletop exercise) يُحاكي سيناريو فقدان جميع اتصالات VPN لمدة ساعة. هل لديك قنوات اتصال بديلة موثّقة؟ هل فريق SOC يعرف إجراءات التصعيد في هذا السيناريو؟

الخلاصة

ثغرة CVE-2026-25075 تُذكّرنا أن مكونات البنية التحتية الأساسية مثل بوابات VPN تحتاج لنفس مستوى الاهتمام الذي نوليه لتطبيقات الويب وقواعد البيانات. خمسة عشر عاماً من الإصدارات المعرّضة تعني أن كثيراً من المؤسسات قد تكون تشغّل إصدارات قديمة دون إدراك المخاطر. التحديث الفوري ضروري، لكن الأهم هو بناء منظومة متكاملة لإدارة الثغرات تشمل الجرد المستمر والفحص الدوري والتصحيح المُوقّت وفق الأطر الزمنية التي يفرضها إطار SAMA CSCC.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وفحص شامل لمكونات البنية التحتية الحرجة.