ثغرة Ni8mare في n8n (CVE-2026-21858): 100 ألف خادم مكشوف تهدد أتمتة بنوك SAMA

كشف باحثو Cyera عن ثغرة بحد أقصى من الخطورة (CVSS 10.0) في منصة n8n الشائعة لأتمتة سير العمل، تحمل اسم "Ni8mare" ورقم CVE-2026-21858. الثغرة تسمح للمهاجمين غير المصادقين بالاستيلاء الكامل على الخوادم، مع تقدير 100,000 خادم n8n مكشوف عالمياً، مما يضع المؤسسات المالية السعودية التي تعتمد على أتمتة العمليات في خط النار المباشر.

تشريح ثغرة Ni8mare: كيف تعمل CVE-2026-21858

تستغل الثغرة خللاً في معالجة "Content-Type" داخل وحدة رفع الملفات في n8n. المشكلة الجوهرية أن الدالة المسؤولة عن استقبال الملفات لا تتحقق من أن نوع المحتوى هو "multipart/form-data"، مما يسمح للمهاجم بتجاوز عملية التحقق وكتابة req.body.files مباشرة. النتيجة المباشرة هي قراءة عشوائية للملفات على نظام الملفات الخادم.

سلسلة الاستغلال الكاملة تسير على النحو التالي: المهاجم يستخرج قاعدة بيانات SQLite الخاصة بـ n8n وملف الإعدادات الذي يحوي مفتاح التوقيع، ثم يولّد ملف تعريف ارتباط n8n-auth صالحاً يحمل صلاحيات المسؤول. بعد ذلك يصبح بإمكانه تنفيذ أوامر عشوائية عبر عُقد Code أو Execute Command داخل سير العمل، متجاوزاً المصادقة بالكامل.

الإصدارات المتأثرة وحالة التصحيح

تطال الثغرة جميع إصدارات n8n حتى 1.65.0 وقد عُولجت في الإصدار 1.121.0 الصادر في 18 نوفمبر 2025. بالتوازي، أصدر فريق n8n إصلاحاً لثغرة شقيقة بحد أقصى من الخطورة هي CVE-2026-21877 (تنفيذ كود عن بُعد للمستخدم المصادق) في الإصدار 1.121.3. النسخ السحابية المُدارة من n8n حُدِّثت تلقائياً، لكن النسخ الذاتية الاستضافة (self-hosted) داخل بنية البنوك السعودية تتطلب تدخلاً يدوياً عاجلاً.

الجانب الأخطر هنا هو أن n8n يُستخدم على نطاق واسع في القطاع المالي لأتمتة عمليات حساسة: ربط أنظمة CRM ببوابات الدفع، توجيه تنبيهات SOC، أتمتة التحقيقات في عمليات الاحتيال، وحتى ربط نماذج الذكاء الاصطناعي ببيانات العملاء. عند اختراق خادم n8n، يحصل المهاجم تلقائياً على بيانات اعتماد كل النظم المتصلة به.

التأثير على المؤسسات المالية السعودية

ثغرة Ni8mare تمس مباشرة عدة ضوابط في إطار SAMA Cyber Security Framework (CSCC). الضابط 3.3.5 (إدارة الثغرات) يلزم البنوك بترقيع الثغرات الحرجة خلال نوافذ زمنية محددة، والضابط 3.3.14 (أمن سلسلة التوريد البرمجية) يفرض جرد جميع المكونات مفتوحة المصدر المستخدمة في الإنتاج. كذلك، الضابط 4.1 من NCA ECC-1:2018 يتطلب حماية الأنظمة من ثغرات الاستغلال غير المصادق.

الأخطر أن أدوات أتمتة سير العمل مثل n8n كثيراً ما تحوي مفاتيح API لخدمات حساسة: قواعد بيانات العملاء، أنظمة Core Banking، بوابات SARIE، ومنصات تحليل المعاملات. اختراق خادم n8n واحد قد يُترجم إلى تسريب بيانات شخصية يستوجب الإبلاغ بموجب نظام حماية البيانات الشخصية (PDPL) خلال 72 ساعة، إضافة إلى مخالفة متطلبات PCI-DSS 6.3.3 المتعلقة بإدارة التصحيحات.

التوصيات والخطوات العملية

1. الجرد الفوري: استخدم استعلامات شبكية للكشف عن منافذ n8n الافتراضية (5678/tcp) وفحص نسخ Docker المُشغِّلة لصورة n8nio/n8n. وثّق كل خادم n8n سواء في البنية المحلية أو على Azure/AWS.
2. الترقيع العاجل: ارفع جميع نسخ n8n إلى الإصدار 1.121.3 أو أحدث. إذا لم يكن الترقيع ممكناً فوراً، اعزل الخادم خلف بوابة WAF تمنع الوصول غير المصادق إلى مسارات /rest/ و/webhook/.
3. تدوير الأسرار: افترض أن جميع بيانات الاعتماد المخزّنة داخل n8n قد سُرِّبت. أعد توليد كل مفتاح API ورمز OAuth وكلمة مرور قاعدة بيانات مرتبطة بسير العمل، خاصة المرتبطة بأنظمة الدفع وبيانات العملاء.
4. الكشف عن مؤشرات الاختراق (IoCs): راجع سجلات n8n بحثاً عن جلسات إدارية غير معتادة، تنفيذ لعُقد Code خارج ساعات العمل، أو استدعاءات HTTP Request إلى نطاقات خارجية مشبوهة. ادمج هذه السجلات في SIEM وفعّل قواعد كشف مخصصة.
5. تقسيم الشبكة: ضع خوادم أتمتة سير العمل في شبكة فرعية معزولة لا تستطيع الوصول مباشرة إلى أنظمة Core Banking. اعتمد مبدأ "الامتياز الأقل" على مفاتيح API.
6. تحديث سياسة TPRM: أضف n8n وأي منصة أتمتة مماثلة (Make, Zapier Self-Hosted, Apache Airflow) إلى سجل المخاطر التشغيلية وفق متطلبات الضابط 3.3.14 من SAMA CSCC.

الخلاصة

ثغرة Ni8mare ليست مجرد CVE آخر في قائمة طويلة - إنها تذكير بأن أدوات الأتمتة "اللا-كود" التي تتبناها فرق العمليات بسرعة دون مراجعة أمنية كافية، تتحول إلى نقطة فشل واحدة (Single Point of Failure) ذات صلاحيات هائلة. على رؤساء أمن المعلومات في البنوك السعودية معاملة هذه المنصات كأنظمة من الفئة الأولى من حيث الحماية والمراقبة، لا كأدوات إنتاجية ثانوية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل جرد منصات الأتمتة وتقييم تعرضها لثغرات بحد أقصى من الخطورة.