أضافت وكالة CISA الأمريكية في 20 أبريل 2026 ثغرة CVE-2024-27199 في JetBrains TeamCity إلى قائمة الثغرات المستغلة فعلياً (KEV)، وهو ما يضع منصات التكامل والتسليم المستمر (CI/CD) في بنوك SAMA تحت المجهر مباشرةً. الثغرة قديمة عمرياً لكنها لا تزال نشطة في الاستغلال، ومخاطرها على سلسلة توريد البرمجيات المالية لا يمكن إغفالها.

التفاصيل التقنية لثغرة CVE-2024-27199 في TeamCity

الثغرة من نوع تجاوز المصادقة (Authentication Bypass) عبر اجتياز مسار (Path Traversal — CWE-22) في الواجهة الإدارية لـ TeamCity On-Premises، وتحمل تقييم CVSS 7.3. تستغل الثغرة التعامل المعيب مع المقاطع `/../` في عناوين URL للوصول إلى نقاط نهاية إدارية محددة دون أي مصادقة، أبرزها `/app/https/settings/uploadCertificate` و`/admin/diagnostic.jsp`.

ما يجعل الاستغلال خطيراً هو أن المهاجم يستطيع رفع شهادة HTTPS بديلة للخادم وتغيير المنفذ الذي يستمع عليه، مما يفتح الباب لهجمات Man-in-the-Middle داخلية على فرق التطوير، وسرقة رموز API ومفاتيح التوقيع. عند دمجها مع CVE-2024-27198 (الثغرة الشقيقة عالية الخطورة CVSS 9.8) يصبح الاستغلال متكاملاً ويفضي إلى تنفيذ تعليمات عن بُعد (RCE) كاملة على خادم البناء.

لماذا تُعدّ منصات CI/CD هدفاً عالي القيمة؟

خوادم البناء مثل TeamCity تحتفظ بأسرار حساسة جداً: مفاتيح توقيع الكود، رموز الوصول إلى مستودعات GitHub Enterprise وArtifactory، بيانات اعتماد قواعد البيانات الإنتاجية، وشهادات النشر. اختراق خادم واحد يساوي اختراق سلسلة الإصدار بأكملها — وهو سيناريو هجوم سلسلة التوريد البرمجية الكلاسيكي الذي شاهدناه في حوادث SolarWinds و3CX.

رصد باحثو Trend Micro حملات استغلال نشطة لثغرات TeamCity توظف أدوات مثل Jasmin Ransomware وXMRig وSparkRAT، إضافة إلى زرع أبواب خلفية داخل عمليات البناء (Build Pipeline Poisoning). في القطاع المالي، يعني ذلك إمكانية حقن كود خبيث في تطبيقات الموبايل البنكية أو منصات التداول قبل توقيعها رقمياً، مما يجعل الاكتشاف اللاحق صعباً جداً.

التأثير على المؤسسات المالية الخاضعة لرقابة SAMA

وفق إطار SAMA Cyber Security Control Compliance (CSCC)، تقع هذه الثغرة في صميم عدة ضوابط رقابية مهمة:

  • الضابط 3.3.5 — الأمن السيبراني في تطوير البرمجيات: يلزم البنوك بتأمين بيئات التطوير وخوادم البناء.
  • الضابط 3.3.13 — إدارة الثغرات: يفرض ترقيع الثغرات الحرجة خلال إطار زمني محدد، خصوصاً تلك المدرجة في KEV.
  • الضابط 3.3.16 — أمن سلسلة التوريد: يتطلب رقابة على كل مكوّن برمجي يصل إلى الإنتاج.

كذلك تُلامس الثغرة ضوابط NCA ECC الأساسية: 2-10 (أمن التطبيقات)، 2-12 (إدارة الثغرات)، و2-15 (تطوير البرمجيات الآمن). أي بنك سعودي يستخدم TeamCity على إصدار أقل من 2023.11.4 ويعرّض الواجهة الإدارية ضمن شبكة قابلة للوصول الجانبي يقع تلقائياً خارج نطاق الامتثال، مع كل ما يستتبع ذلك من تبعات تنظيمية.

التوصيات والخطوات العملية الفورية

  1. الترقية الفورية إلى TeamCity 2023.11.4 أو أحدث (الإصدارات الحالية في 2026 وصلت إلى 2025.3 وما بعدها). إذا كانت الترقية متعذرة، طبّق إضافة JetBrains الرسمية للحماية المؤقتة.
  2. عزل خوادم CI/CD شبكياً ضمن منطقة DMZ داخلية مغلقة، مع إلزامية الاتصال عبر VPN أو Bastion Host مؤمَّن بـ MFA. لا يجب أن تكون واجهة TeamCity متاحة من شبكة المستخدمين العاديين.
  3. تدوير جميع الأسرار المخزنة داخل TeamCity فوراً: رموز Git، مفاتيح SSH، بيانات اعتماد التسجيل في Docker Registry، وشهادات توقيع الكود. اعتبر كل سر سابق على الترقيع مخترقاً افتراضياً.
  4. تفعيل مراقبة سلوكية SOC على نقاط النهاية الإدارية: راقب طلبات GET غير المصادق عليها التي تحوي `..` أو تستهدف `/app/https/settings/uploadCertificate` و`/admin/diagnostic.jsp`. نشر قواعد Suricata الخاصة بـ Splunk Research مفيد جداً هنا.
  5. توقيع كود مركزي عبر HSM منفصل عن خادم البناء، مع تطبيق سلاسل توقيع SLSA Level 3 على الأقل لكل تطبيق مالي يُسلَّم للإنتاج.
  6. مراجعة مورّدي البرمجيات الخارجيين وفق ضوابط TPRM في SAMA CSCC: اطلب من كل مزوّد دليلاً موقعاً على ترقيع TeamCity وغيرها من أدوات CI/CD، واعتبر ذلك جزءاً من الرقابة الدورية على المخاطر الخارجية.
  7. اختبار الاختراق المستهدف لبيئة CI/CD مرتين سنوياً على الأقل، مع التركيز على سيناريوهات Pipeline Injection وSecrets Exfiltration.

الخلاصة

إدراج CVE-2024-27199 في قائمة KEV ليس مجرد إجراء روتيني من CISA، بل إنذار بأن الاستغلال نشط ومستمر بعد أكثر من عامين من الإفصاح الأصلي. خوادم البناء هي قلب سلسلة الإصدار في كل بنك سعودي، وأي اختراق فيها يعني تهديداً مباشراً لسلامة التطبيقات المالية التي يعتمد عليها ملايين العملاء يومياً. الترقيع وحده لا يكفي — مطلوب إعادة هندسة كاملة لمنطقة CI/CD وفق مبدأ Zero Trust وضوابط SAMA CSCC الخاصة بسلسلة التوريد.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة معمارية بيئة CI/CD وقابلية تعرّضها لهجمات سلسلة التوريد البرمجية.