Ni8mare CVE-2026-21858: ثغرة n8n الحرجة تهدد أتمتة بنوك SAMA

كشف باحثو Cyera عن ثغرة بمستوى خطورة قصوى (CVSS 10.0) في منصة الأتمتة مفتوحة المصدر n8n تحمل الرمز CVE-2026-21858 وأطلق عليها اسم "Ni8mare". تتيح هذه الثغرة لأي مهاجم غير مصادَق عليه السيطرة الكاملة على الخادم المتأثر، وهو ما يضع نحو 100,000 خادم n8n حول العالم في خط النار، بما فيها مئات النشرات لدى مؤسسات مالية تستخدم n8n لأتمتة سير العمل المرتبط بالذكاء الاصطناعي.

تفاصيل ثغرة Ni8mare التقنية وآلية الاستغلال

تكمن المشكلة في طريقة معالجة n8n لـ Webhooks، وهي الآلية التي تطلق سير العمل عند وصول البيانات من أنظمة خارجية. باستغلال خلل "Content-Type Confusion"، يستطيع المهاجم التلاعب برؤوس HTTP للكتابة فوق متغيرات داخلية في التطبيق، مما يفتح الباب لقراءة ملفات عشوائية من النظام الأساسي ثم تصعيد الهجوم إلى تنفيذ تعليمات برمجية عن بُعد (RCE) كاملة. الإصلاح صدر بصمت في الإصدار 1.121.0 بتاريخ 18 نوفمبر 2025، قبل أسابيع من الإفصاح العلني عن CVE.

لماذا تشكّل n8n هدفاً جذاباً للمهاجمين

تدير منصات n8n عادةً تدفقات حساسة تحتوي على رموز وصول API وبيانات اعتماد لأنظمة CRM وERP وقواعد بيانات الإنتاج. في القطاع المالي السعودي، تُستخدم n8n وأدوات أتمتة مماثلة (مثل Zapier وMake) لربط بوابات المدفوعات وأنظمة الـ KYC وكشف الاحتيال ووكلاء الذكاء الاصطناعي. السيطرة على خادم n8n واحد قد تعني الوصول إلى عشرات بيانات الاعتماد المخزنة، وهو ما يحول الثغرة إلى منصة محورية (pivot point) داخل البنية التحتية للبنك.

التأثير على المؤسسات المالية الخاضعة لرقابة SAMA

وفق إطار SAMA Cyber Security Framework، تندرج خوادم الأتمتة ضمن أصول تقنية المعلومات الحرجة (Critical IT Assets)، وتخضع لمتطلبات الضابط 3.3.5 الخاص بإدارة الثغرات والـ Patch Management خلال SLA محدد. كما يُلزم الضابط 3.3.14 المتعلق بأمان التطبيقات بتطبيق تقييم آمن قبل النشر لأي منصة طرف ثالث. ومن منظور NCA ECC-1:2018، فإن الضوابط الفرعية 2-10-3 (أمن سلسلة التوريد) و2-3-3 (إدارة الثغرات) تنطبق مباشرةً. أي تسرب بيانات اعتماد عبر n8n قد يُعتبر انتهاكاً لنظام حماية البيانات الشخصية PDPL ويستوجب الإخطار خلال 72 ساعة.

التوصيات والخطوات العملية للتخفيف

1. الترقية فوراً إلى n8n الإصدار 1.121.0 أو أحدث، والتحقق من جميع نشرات Docker وKubernetes لضمان عدم بقاء صور قديمة قيد التشغيل.
2. عزل خوادم n8n خلف WAF يدعم فحص رؤوس Content-Type وحظر القيم المشوهة، مع تطبيق قواعد ModSecurity أو AWS WAF خاصة بـ webhooks.
3. تدوير جميع بيانات الاعتماد المخزنة داخل n8n (API keys، OAuth tokens، database passwords) كإجراء احتياطي، لأن تسرب هذه البيانات لا يُكشف بسهولة بعد الاستغلال.
4. تفعيل المصادقة الثنائية (2FA) على واجهة n8n وتقييد الوصول الإداري عبر VPN داخلية فقط، مع منع التعرض المباشر للإنترنت لأي webhook غير ضروري.
5. تشغيل بحث IOC في سجلات الـ Reverse Proxy عن طلبات POST تحوي رؤوس Content-Type غير قياسية، وإضافة قاعدة كشف SIEM (Splunk/Sentinel) لمراقبة سلوك n8n الشاذ.
6. إجراء جرد كامل لكل أدوات الأتمتة منخفضة التعليمات البرمجية (Low-Code) المنتشرة في البيئة، وتصنيفها كـ Critical IT Assets ضمن سجل مخاطر SAMA.

الخلاصة

تكشف ثغرة Ni8mare عن نمط متصاعد: منصات أتمتة الذكاء الاصطناعي ومنخفضة التعليمات البرمجية أصبحت بنية تحتية حرجة لكنها لا تخضع غالباً لنفس صرامة مراجعة المخاطر التي تُطبَّق على أنظمة Core Banking. على CISOs في القطاع المالي السعودي إعادة تصنيف هذه الأدوات ضمن نطاق تدقيق SAMA CSCC، وإلا فإن نقطة ضعف واحدة قد تُفرغ خزانة بيانات الاعتماد بأكملها.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومراجعة موسّعة لمنصات الأتمتة في بيئتك.