ثغرة حرجة في Apache Polaris: تسريب بيانات اعتماد التخزين المؤقتة عبر مسارات جداول مُتحكَّم بها

◎مقدمة: ثغرة حرجة تهدد بيئات Data Lakehouse في المملكة

أعلنت مؤسسة Apache Software Foundation عن ثغرة أمنية حرجة تحمل المعرّف CVE-2026-42809 بدرجة خطورة 9.9 على مقياس CVSS 3.1، تمس منتج Apache Polaris، وهو كتالوج مفتوح المصدر يُستخدم لإدارة جداول Apache Iceberg في بيئات تحليل البيانات الحديثة (Data Lakehouse). تُصنَّف الثغرة ضمن فئة CWE-20 (Improper Input Validation)، وتسمح للمهاجم بالحصول على بيانات اعتماد تخزين مؤقتة (Vended Credentials) ذات نطاق وصول موسّع إلى مواقع تخزين يختارها بنفسه، قبل إجراء عمليات التحقق من صحة الموقع أو التحقق من التداخل مع مواقع جداول أخرى.

تكتسب هذه الثغرة أهمية استثنائية في السوق السعودي، حيث تتوسع بنوك ومؤسسات حكومية وشركات اتصالات في استخدام منصات Lakehouse المعتمدة على Iceberg وPolaris، سواء في مراكز البيانات المحلية المرخصة من هيئة الاتصالات والفضاء والتقنية (CST، المعروفة سابقاً بـ CITC)، أو على بنى تحتية سحابية مستضافة داخل حدود المملكة وفقاً لمتطلبات الهيئة الوطنية للأمن السيبراني (NCA) الخاصة بتوطين البيانات.

◎ما هو Apache Polaris ولماذا تهم هذه الثغرة؟

Apache Polaris هو كتالوج REST مفتوح المصدر لإدارة جداول Iceberg، يُوفّر طبقة تحكم مركزية في الوصول إلى بيانات Lakehouse المخزنة في خدمات تخزين كائنية مثل Amazon S3 أو Azure Data Lake Storage أو Google Cloud Storage، بالإضافة إلى خدمات التخزين المتوافقة مع S3 التي يقدمها مزودو الاستضافة السعوديون.

تعتمد فلسفة Polaris على آلية تُعرف باسم Credential Vending، حيث يقوم الكتالوج بإصدار بيانات اعتماد مؤقتة ومحدودة النطاق للعميل عند كل طلب قراءة أو كتابة، بدلاً من منح العميل صلاحيات دائمة واسعة على خدمة التخزين. نظرياً، يُفترض أن تكون هذه البيانات محصورة بمسار الجدول المحدد فقط، مما يُحقق مبدأ الحد الأدنى من الامتيازات.

◎التفاصيل التقنية للثغرة CVE-2026-42809

تكمن الثغرة في مسار إنشاء الجداول المرحلية (Staged Table Creation) في Apache Polaris. عند إنشاء جدول جديد عبر هذا المسار، يسمح Polaris للمتصل (Caller) بتحديد موقع تخزين مخصص (custom location) ضمن طلب الإنشاء، وطلب إصدار بيانات اعتماد مؤقتة في الوقت ذاته.

المشكلة الأساسية

يقوم Polaris بإصدار بيانات الاعتماد المفوضة (Delegated Credentials) اعتماداً على الموقع المُقدَّم من المتصل مباشرة، دون:

• تشغيل عمليات التحقق الاعتيادية من صحة الموقع (Location Validation).
• إجراء فحص التداخل (Overlap Checks) مع مواقع الجداول الأخرى المسجلة في الكتالوج.
• حجز الموقع بشكل دائم (Durable Reservation) قبل إصدار البيانات.

المتغير المؤكد للاستغلال

في السيناريو المؤكد، يستطيع المهاجم الذي يملك صلاحية إنشاء جداول مرحلية أن يُحدد قيمة location تشير إلى مسار جدول آخر يخص مستأجراً مختلفاً أو إلى بيانات حساسة داخل نفس bucket التخزين. يقوم Polaris بإنشاء بيانات اعتماد ذات صلاحية وصول إلى هذا المسار، مما يمنح المهاجم قدرة فعلية على قراءة أو تعديل أو حذف بيانات لا تعود له.

متجهات ثانوية

تقبل ذات المسار البرمجي أيضاً الخصائص write.data.path وwrite.metadata.path ضمن الطلب، ويتم تمريرها إلى مجموعة المواقع الفعّالة المستخدمة في إصدار بيانات الاعتماد، دون تحقق كافٍ منها. وبذلك تُضاف نقاط دخول إضافية للاستغلال.

◎درجة الخطورة وسيناريوهات الاستغلال

بدرجة CVSS 9.9، تُصنَّف الثغرة ضمن الفئة الحرجة، وتتميز بالخصائص التالية:

• متجه الهجوم: عبر الشبكة (Network).
• تعقيد الهجوم: منخفض (Low).
• الامتيازات المطلوبة: منخفضة (Low) — يكفي أن يملك المهاجم حساباً عادياً بصلاحية إنشاء جداول.
• تدخل المستخدم: غير مطلوب.
• نطاق التأثير: تجاوز النطاق (Scope: Changed)، أي أن الثغرة تؤثر على موارد خارج نطاق المكون المُصاب نفسه.
• التأثير على السرية والسلامة والتوفر: مرتفع (High) في جميعها.

سيناريوهات استغلال واقعية

1. اختراق العزل بين المستأجرين (Multi-Tenant Breach): في بيئات Lakehouse المشتركة بين عدة إدارات داخل نفس المؤسسة، يستطيع مستأجر خبيث الوصول إلى بيانات مستأجر آخر.
2. تسريب بيانات مالية أو صحية: في البنوك والمستشفيات السعودية التي تستخدم Polaris لإدارة بحيرات البيانات، قد يؤدي الاستغلال إلى تسريب سجلات العملاء أو البيانات الصحية المحمية بموجب نظام حماية البيانات الشخصية (PDPL).
3. تخريب سلامة البيانات: إمكانية كتابة بيانات خبيثة في مسارات جداول أخرى، مما يُفسد تحليلات الأعمال أو نماذج الذكاء الاصطناعي المبنية على تلك البيانات.
4. التحرك الجانبي: استخدام بيانات الاعتماد المُسرّبة للوصول إلى موارد تخزين أخرى داخل نفس حساب السحابة.

◎الأنظمة والإصدارات المتأثرة

تؤثر الثغرة على إصدارات Apache Polaris التي تدعم مسار إنشاء الجداول المرحلية مع Credential Vending دون التحقق الكافي من الموقع. يُنصح بمراجعة إعلان المشروع الرسمي عبر القائمة البريدية لفريق Apache Polaris والإعلان على oss-security للحصول على أرقام الإصدارات الدقيقة المتأثرة والمُصححة.

تشمل البيئات المعرضة للخطر:

• منصات Lakehouse المبنية على Apache Iceberg + Polaris Catalog.
• بيئات Snowflake Open Catalog المستندة إلى Polaris.
• نشرات Polaris الذاتية (Self-Hosted) على Kubernetes أو الخوادم التقليدية.
• الأنظمة المتكاملة مع Spark وTrino وFlink عبر كتالوج Polaris.

◎خطوات المعالجة الموصى بها لمديري الأنظمة في المملكة

1. الترقية الفورية

طبّق الإصدار المُصحّح من Apache Polaris بمجرد توفره في السجل الرسمي للمشروع. اعتبر هذه الترقية ذات أولوية قصوى ضمن نافذة صيانة طارئة، خصوصاً إذا كان الكتالوج متاحاً لمستخدمين متعددين أو مكشوفاً لشبكات غير موثوقة.

2. إجراءات التخفيف المؤقتة

• تقييد صلاحية إنشاء الجداول المرحلية: قصر صلاحية CREATE_TABLE_STAGED على مجموعة محدودة جداً من المستخدمين الموثوقين إدارياً.
• تعطيل Credential Vending للجداول المرحلية: إن أمكن من خلال إعدادات Polaris، عطّل إصدار بيانات الاعتماد عبر مسار Staged Create حتى تطبيق الترقية.
• فرض قوائم مواقع مسموح بها (Allowlist): تأكد من تفعيل سياسة Storage Location Allowlist على مستوى الكتالوج لحصر المواقع المقبولة ضمن نطاق Bucket محدد لكل مستأجر.
• تفعيل سياسات IAM مشددة: اعتمد على Bucket Policies وRole Boundaries على مستوى مزود السحابة لمنع أي بيانات اعتماد من الوصول خارج نطاق المستأجر، حتى لو أصدر Polaris بيانات اعتماد أوسع بالخطأ.

3. المراجعة السجلية والتحقيق الجنائي الرقمي

راجع سجلات Polaris الخاصة بعمليات createTable خلال الأشهر الماضية، وابحث عن:

• طلبات إنشاء جداول مرحلية تحتوي على قيم location مخصصة خارج المسار الافتراضي للمستأجر.
• استخدام خصائص write.data.path أو write.metadata.path في طلبات الإنشاء.
• أنماط وصول غير اعتيادية باستخدام بيانات اعتماد مؤقتة صادرة عن Polaris.

في حال اكتشاف أي مؤشر اختراق، أبلغ فوراً فريق الاستجابة للحوادث الداخلي، وأخطر المركز الوطني الإرشادي للأمن السيبراني التابع للهيئة الوطنية للأمن السيبراني وفقاً للضوابط الأساسية للأمن السيبراني (ECC-1:2018).

4. عزل الشبكة وتقليل سطح الهجوم

• ضع واجهة Polaris REST خلف بوابة API داخلية أو VPN، ولا تعرضها على الإنترنت العام.
• طبّق قوائم تحكم بالوصول (ACLs) على مستوى الشبكة تقصر الوصول على عناوين IP الخاصة ببيئات Spark/Trino الداخلية.
• فعّل المصادقة عبر OAuth2/OIDC مع مزوّد هوية موثوق، وتحقق من دورة حياة رموز الوصول.

5. الامتثال للمتطلبات التنظيمية السعودية

تُلزم هيئة الاتصالات والفضاء والتقنية والهيئة الوطنية للأمن السيبراني مقدمي الخدمات السحابية والاستضافة العاملين في المملكة بتطبيق ضوابط صارمة على إدارة الثغرات الحرجة. وفق ضابط إدارة الثغرات التقنية (ECC 2-10) يجب:

• تقييم الثغرات الحرجة ومعالجتها خلال مدة لا تتجاوز 72 ساعة من الإعلان عنها.
• توثيق خطة المعالجة والتخفيف وإبلاغ الإدارة العليا.
• مراجعة سياسة حماية البيانات الشخصية (PDPL) للتحقق من عدم تسريب بيانات العملاء في حال ثبوت الاستغلال.

◎التأثير على قطاع الاستضافة ومراكز البيانات السعودية

مع تنامي اعتماد الجهات الحكومية والقطاع المصرفي السعودي على بنى Lakehouse لدعم مبادرات رؤية 2030 وتحليلات البيانات الكبيرة، أصبحت منتجات مثل Apache Polaris جزءاً محورياً من البنية التحتية لتقنية المعلومات. توصي فورجوالي عملاءها من مزودي الاستضافة المدارة ومديري البنى التحتية التقنية بما يلي:

• إجراء جرد فوري لأي نشر لـ Apache Polaris ضمن بيئات الإنتاج أو الاختبار.
• التنسيق مع فرق الأمن السيبراني لتطبيق الترقية خلال نافذة الصيانة القريبة.
• مراجعة عقود مستوى الخدمة (SLA) مع العملاء للتأكد من شمولها لإجراءات الاستجابة للثغرات الحرجة.
• توثيق عملية المعالجة ضمن سجل المخاطر المؤسسي.

◎خلاصة

تُمثّل الثغرة CVE-2026-42809 تذكيراً قوياً بأن آليات تفويض الصلاحيات الديناميكية مثل Credential Vending تتطلب تحققاً صارماً من كل إدخال يُقدمه المستخدم، خاصة عندما يتعلق الأمر بمسارات التخزين. إن الفشل في التحقق من موقع واحد قد يُحوّل آلية أمنية (تقييد نطاق بيانات الاعتماد) إلى سلاح بيد المهاجم. نحث جميع المؤسسات السعودية التي تعتمد على Apache Polaris على التعامل الفوري مع هذه الثغرة، والاستفادة من الاستشارات الأمنية التي يقدمها فريق فورجوالي لضمان استمرارية الأعمال وحماية البيانات الوطنية.