ثغرة Veeam CVE-2026-21666: تنفيذ كود حرج يهدد النسخ الاحتياطي لبنوك SAMA

كشفت Veeam عن ثغرتين حرجتين في منصة Veeam Backup & Replication بتقييم CVSS 9.9، تحملان المعرّفين CVE-2026-21666 وCVE-2026-21667. تتيح الثغرتان لأي مستخدم مُصادَق عبر Active Directory تنفيذ كود عشوائي بصلاحيات SYSTEM على خادم النسخ الاحتياطي — وهو القلب النابض لخطط استمرارية الأعمال في كل بنك سعودي خاضع لرقابة SAMA.

تشريح ثغرة CVE-2026-21666: حقن CRLF في خدمة النسخ الاحتياطي

تنبع الثغرة من فشل مكوّن Veeam Backup Server في تطهير سلاسل Carriage Return + Line Feed داخل المدخلات الواردة على المنفذين TCP/9392 وTCP/9401. هذان المنفذان يديران الاتصال بين الخادم المركزي وبروكسيات النسخ الاحتياطي والمستودعات المُحصَّنة Hardened Repositories. عند معالجة طلبات إعداد البروكسيات المبنية على Linux، يبني الخادم ديناميكياً ملفات تنفيذ خدمة (systemd units) دون ترميز محارف CRLF، مما يفتح الباب أمام حقن أوامر عشوائية في توجيهات منفصلة داخل ملف الإعداد.

تستلزم الثغرة بيانات اعتماد نطاق صالحة فقط — بدون أي صلاحيات إدارية داخل Veeam — مما يجعل أي حساب موظف مُختَرَق نقطة انطلاق كافية للسيطرة الكاملة على البنية التحتية للنسخ الاحتياطي. وفقاً لتحليل Rapid7 وSOCRadar، يُسجَّل زمن الاستغلال (Time-to-Exploit) لمثل هذه الثغرات في أقل من 48 ساعة من النشر العلني.

لماذا تُعدّ خوادم النسخ الاحتياطي الهدف الأكثر قيمة لعصابات الفدية

منذ 2022، اعتمدت مجموعات Conti وREvil وLockBit وأخيراً FIN7 وCuba على ثغرات Veeam لتعطيل التعافي قبل تنفيذ التشفير الجماعي. السيطرة على Veeam Backup Server تمنح المهاجم ثلاث قدرات حاسمة دفعة واحدة: استخراج بيانات اعتماد جميع المضيفين المسجَّلين من قاعدة بيانات Veeam، حذف Backup Chains وImmutable Repositories من جهة الخادم، وزرع باب خلفي يُنفَّذ مع كل مهمة مجدولة. النتيجة المباشرة: لا يبقى للضحية ما يستعيده، فيرتفع متوسط الفدية المدفوعة 3 إلى 5 أضعاف.

الإصدارات المتأثرة وحزم التصحيح

تشمل الإصدارات المعرَّضة Veeam Backup & Replication 12.3.2.4165 وما قبله ضمن فرع v12، وVeeam 13.0.1.1071 وما قبله ضمن فرع v13. الحلول هي الترقية الفورية إلى البناء 12.3.2.4465 أو 13.0.1.2067. ولا يوجد حل بديل مؤقت معتمد من المُنتِج، لذا يتعيّن إدراج التحديث في نافذة طوارئ خارج الجدول الاعتيادي.

التأثير على المؤسسات المالية الخاضعة لـ SAMA

يفرض إطار SAMA Cyber Security Framework في النطاق الفرعي 3.3.16 (Cyber Security Backup) حماية النسخ الاحتياطية بضوابط منع الكتابة وإدارة هوية مستقلة عن البيئة الإنتاجية. ويتعارض استغلال CVE-2026-21666 مباشرةً مع متطلبات NCA ECC تحت 2-9 (إدارة النسخ الاحتياطي والاسترجاع) وضابط 2-2-3 المتعلق بفصل الواجبات في إدارة الهوية. كما يُعرِّض البنوك التي تعالج بيانات حاملي البطاقات لمخالفة PCI-DSS v4.0 متطلب 9.4 بشأن حماية الوسائط، وقانون حماية البيانات الشخصية PDPL في حال فقدان سجلات معاملات العملاء بسبب تدمير النسخ الاحتياطية.

الأهم من ذلك أن انهيار قدرة الاستعادة يُبطل افتراضات الاختبار في خطط Business Continuity Management المعتمَدة لدى SAMA، ويستوجب إعادة تصنيف مخاطر التعافي ضمن سجل المخاطر السيبرانية للمؤسسة قبل دورة المراجعة القادمة.

التوصيات والخطوات العملية

1. تطبيق التحديث 12.3.2.4465 أو 13.0.1.2067 خلال نافذة طوارئ لا تتجاوز 72 ساعة، مع توثيق Change Request مرجعي لمدقق SAMA.
2. تقييد الوصول إلى المنفذين TCP/9392 وTCP/9401 على مستوى الجدار الناري الداخلي بحيث لا يقبل سوى عناوين IP المخصصة للبروكسيات والمستودعات.
3. تطبيق فصل النطاقات: استخدام Active Directory مستقل (Backup AD Forest) لإدارة هوية حسابات Veeam بمعزل عن النطاق الإنتاجي، وفق نمط Tier 0 من Microsoft.
4. تفعيل MFA على جميع حسابات إدارة Veeam، ومراجعة سجلات Veeam ONE لرصد طلبات الإعداد التي تحتوي محارف CRLF غير مُتوقَّعة.
5. توسيع مراقبة SOC لتشمل قواعد Sigma خاصة برصد عمليات إنشاء systemd units غير مألوفة على بروكسيات Linux، وأي تشغيل لـ cmd.exe أو powershell.exe من العملية الأم Veeam.Backup.Service.exe.
6. اختبار استعادة فعلية End-to-End من المستودع المُحصَّن خلال 14 يوماً من التحديث للتحقق من سلامة سلاسل النسخ بعد الترقية.

الخلاصة

ثغرة Veeam CVE-2026-21666 ليست مجرد تحديث برمجي روتيني — هي اختبار مباشر لمدى نضج إدارة استمرارية الأعمال في مؤسستك. الفجوة بين إعلان الثغرة واستغلالها الفعلي أصبحت أقصر من دورة الموافقة على التغيير في معظم البنوك، وهذا يستدعي تفعيل مسار التصحيح الطارئ Emergency Patching Track دون انتظار دورة إصلاح الشهر القادم.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى نضج البنية التحتية للنسخ الاحتياطي وفق ضوابط SAMA CSCC وNCA ECC.