ثغرة strongSwan CVE-2026-25075: عيب عمره 15 عاماً يُسقط شبكات VPN في القطاع المالي

كشف باحثون أمنيون في Bishop Fox عن ثغرة خطيرة CVE-2026-25075 في منصة strongSwan المستخدمة على نطاق واسع لبناء أنفاق VPN من نوع IPsec/IKEv2. الثغرة موجودة منذ الإصدار 4.5.0 الصادر عام 2011، أي أنها ظلت كامنة لأكثر من 15 عاماً دون اكتشاف. تتيح هذه الثغرة لمهاجم غير مصادق إسقاط خادم VPN بالكامل عبر رسالة واحدة مُعدّة خصيصاً، مما يقطع الاتصال الآمن لجميع المستخدمين المتصلين.

التفاصيل التقنية: تجاوز عددي في EAP-TTLS

تكمن الثغرة في إضافة eap-ttls التي تعالج أزواج القيمة-السمة (AVP) داخل نفق EAP-TTLS أثناء عملية المصادقة. عند استقبال حزمة AVP يحتوي ترويستها على قيمة طول بين 0 و7 بايت، ينفّذ الكود العملية الحسابية this->data_len = avp_len - 8 دون التحقق من أن القيمة أكبر من 8. هذا يُنتج تجاوزاً عددياً سالباً (Integer Underflow) يتحول إلى رقم ضخم جداً بسبب طبيعة الأعداد غير المُوقّعة، مما يؤدي إلى محاولة تخصيص ذاكرة هائلة أو الوصول لمؤشر فارغ (NULL Pointer Dereference)، وكلاهما يُسقط عملية charon — وهي النواة المسؤولة عن إدارة جميع اتصالات IKE/IPsec.

نطاق التأثير: 15 عاماً من الإصدارات المعرضة

تتأثر جميع إصدارات strongSwan من 4.5.0 وحتى 6.0.4، وهو نطاق زمني يمتد من 2011 إلى مارس 2026. حصلت الثغرة على تصنيف CVSS 7.5 (خطورة عالية) نظراً لإمكانية استغلالها عن بُعد دون أي مصادقة وبتعقيد منخفض. الأنظمة التي لا تستخدم مصادقة EAP-TTLS أو التي تُحيل المصادقة لخادم RADIUS خارجي ليست معرضة للخطر. لكن المشكلة أن كثيراً من مسؤولي الأنظمة لا يعرفون بالضبط أي وحدات مصادقة مُفعّلة على بواباتهم، خاصة في البيئات المعقدة التي تخدم فروعاً متعددة.

لماذا يجب أن تهتم المؤسسات المالية السعودية؟

تعتمد البنوك وشركات التأمين وشركات التمويل السعودية على شبكات VPN بشكل أساسي لربط الفروع بمراكز البيانات، وتأمين اتصالات الموظفين عن بُعد، وتشفير القنوات مع مزوّدي الخدمات الخارجيين. منصة strongSwan شائعة الاستخدام في بوابات VPN المبنية على Linux وفي أجهزة الشبكات من عدة مصنّعين. إسقاط خادم VPN لا يعني فقط انقطاع الاتصال، بل يعني توقف أنظمة الدفع الإلكتروني، وانقطاع التواصل مع شبكة SAMA، وتعطّل أنظمة التحويلات بين الفروع.

يُلزم إطار SAMA CSCC المؤسسات المالية بتطبيق ضوابط صارمة لإدارة الثغرات الأمنية (Vulnerability Management) وضمان تحديث الأنظمة الحرجة خلال أطر زمنية محددة. كما تشترط ضوابط NCA ECC إجراء تقييمات أمنية دورية للبنية التحتية للشبكات، بما فيها بوابات الوصول عن بُعد. ترك ثغرة بهذه الخطورة دون معالجة يُعرّض المؤسسة لعقوبات تنظيمية ولمخاطر تشغيلية حقيقية.

أداة فحص مفتوحة المصدر من Bishop Fox

نشرت Bishop Fox أداة فحص مفتوحة المصدر على GitHub باسم CVE-2026-25075-check تتيح لفرق الأمن التحقق من إصدارات strongSwan المنشورة في بيئاتهم وتحديد ما إذا كانت معرضة للثغرة. الأداة تعمل عبر سطر الأوامر وتُنتج تقريراً مباشراً يمكن إدراجه في تقارير الامتثال. هذا النوع من الأدوات مفيد بشكل خاص لفرق الحوكمة والمخاطر والامتثال (GRC) التي تحتاج لتوثيق عمليات الفحص والمعالجة وفق متطلبات SAMA.

التوصيات والخطوات العملية

1. التحديث الفوري إلى strongSwan 6.0.5: أصدر مشروع strongSwan الإصدار 6.0.5 الذي يضيف التحقق من صحة حقل الطول قبل عملية الطرح. يجب تطبيق هذا التحديث على جميع بوابات VPN خلال 72 ساعة كحد أقصى.
2. جرد شامل لمنصات VPN: نفّذ مسحاً كاملاً باستخدام أداة Bishop Fox أو أدوات إدارة الأصول لتحديد كل خادم يعمل بإصدار strongSwan متأثر، بما في ذلك الأجهزة المدمجة (Embedded Devices) التي قد تستخدم strongSwan داخلياً.
3. مراجعة تكوين المصادقة: تحقق من وحدات المصادقة المُفعّلة على كل بوابة VPN. إذا لم تكن بحاجة لـ EAP-TTLS، فعطّلها كإجراء تخفيفي مؤقت حتى إتمام التحديث.
4. تفعيل المراقبة على عملية charon: أضف قواعد مراقبة في نظام SIEM لاكتشاف أي إعادة تشغيل غير متوقعة لعملية charon، فقد تكون مؤشراً على محاولة استغلال.
5. اختبار خطة استمرارية الأعمال: تأكد من أن خطة التعافي من الكوارث تغطي سيناريو انقطاع VPN الكامل، بما في ذلك قنوات الاتصال البديلة مع SAMA ومع الفروع.
6. توثيق المعالجة للامتثال: وثّق جميع خطوات الفحص والتحديث والاختبار في سجل إدارة الثغرات، مع ربطها بضوابط SAMA CSCC ذات الصلة لتقديمها في التدقيق القادم.

الخلاصة

ثغرة CVE-2026-25075 تذكير صارخ بأن البنية التحتية الأساسية التي نعتمد عليها يومياً قد تحمل عيوباً كامنة لسنوات طويلة. شبكات VPN ليست مجرد طبقة راحة — إنها العمود الفقري لأمن الاتصالات في القطاع المالي. التحديث الفوري واختبار بيئة VPN والتوثيق الدقيق ليست خيارات بل التزامات تنظيمية وتشغيلية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل فحصاً شاملاً لبوابات VPN والبنية التحتية للشبكات.