React2Shell CVE-2025-55182: 766 خادماً مخترقاً وسرقة مفاتيح AWS والبيانات السرية من تطبيقات Next.js

في الأيام الأولى من أبريل 2026، رصد باحثو Cisco Talos حملة هجومية ممنهجة استغلت ثغرة React2Shell (CVE-2025-55182) ذات درجة خطورة قصوى CVSS 10 لاختراق 766 خادماً يعمل بإطار Next.js حول العالم، مع تركيز واضح على منظومات السحابة وبيانات الاعتماد الحساسة. هذه ليست مجرد ثغرة برمجية — إنها جرس إنذار لكل مؤسسة مالية سعودية تعتمد على تطبيقات الويب الحديثة في خدمة عملائها.

ما هي ثغرة React2Shell وكيف تعمل؟

CVE-2025-55182 ثغرة حرجة تستغل خللاً في آلية إلغاء تسلسل المدخلات (Input Deserialization) داخل React Server Components (RSC)، وهي البنية التي تعتمد عليها معظم تطبيقات Next.js الحديثة. يتمكن المهاجم غير المُصادق من حقن حمولات خبيثة تُنفَّذ مباشرةً على الخادم، مما يمنحه إمكانية الوصول الكامل إلى البيئة التشغيلية. كشفت Microsoft Security في ديسمبر 2025 عن التفاصيل التقنية الأولى للثغرة، غير أن الاستغلال الفعلي على نطاق واسع لم يبدأ إلا في مطلع 2026 بعد أن طوّر مجموعة UAT-10608 أدوات هجومية آلية تستغلها بكفاءة عالية.

مدى الاختراق: ماذا سُرق بالضبط؟

بعد الوصول الأولي، يستخدم المهاجمون إطار Nexus Listener لتجميع البيانات السرية بشكل آلي من متغيرات البيئة وملفات الإعداد. قائمة ما جرى سرقته تكشف حجم الكارثة: مفاتيح AWS السرية وبيانات اعتماد IAM، مفاتيح SSH الخاصة المستخدمة في الوصول إلى الخوادم، توكنات GitHub وGitLab التي تتيح الوصول إلى مستودعات الكود المصدري، مفاتيح Stripe API المتصلة بمعالجة المدفوعات، بيانات الاتصال بقواعد البيانات (MySQL، PostgreSQL، MongoDB)، وتوكنات Kubernetes وDocker. الأشد خطورة هو أن المهاجمين يُخزّنون هذه البيانات على خوادم مكشوفة تابعة لهم — ما يعني احتمال تسرّبها مرة أخرى.

التأثير المباشر على المؤسسات المالية في المملكة

ثغرة من هذا النوع تمثل تهديداً مضاعفاً للقطاع المالي السعودي المنظَّم. أولاً: معظم تطبيقات الخدمات المصرفية الرقمية وبوابات الدفع الإلكتروني باتت تُبنى على إطار Next.js نظراً لمرونته وأدائه، مما يوسّع نطاق التعرض. ثانياً: سرقة مفاتيح AWS تعني أن المهاجم قد يتمكن من الوصول إلى بيانات العملاء المخزّنة في S3 أو قواعد البيانات السحابية، وهو ما يُعدّ انتهاكاً صريحاً لمتطلبات SAMA CSCC تحت بند حماية البيانات وإدارة الهوية والوصول (IAM). ثالثاً: في ظل لوائح PDPL، يُلزَم أي كيان يعالج بيانات شخصية سعودية بالإفصاح عن الاختراقات خلال 72 ساعة من الاكتشاف — وهو توقيت ضيّق جداً في غياب منظومة كشف واستجابة فعّالة. رابعاً: سرقة توكنات GitHub قد تُفضي إلى اختراق سلسلة التوريد البرمجية إذا استُخدمت للتلاعب بكود التطبيقات المالية نفسها.

التوصيات والخطوات العملية

1. الترقية الفورية: تأكد من أن جميع تطبيقات Next.js لديك تعمل بإصدار مُرقَّع يتضمن الإصلاح المقدَّم لـ CVE-2025-55182. استخدم أداة Bishop Fox المجانية CVE-2026-25075-check للكشف عن الأنظمة المعرضة.
2. تدوير فوري لجميع بيانات الاعتماد: إذا كنت تشغّل Next.js بإصدار غير مُرقَّع، افترض الاختراق وأعد إنشاء جميع مفاتيح AWS، وSSH، وGitHub، وStripe، وقواعد البيانات على الفور.
3. مبدأ الحد الأدنى من الصلاحيات (Least Privilege): راجع صلاحيات IAM لحسابات AWS المستخدمة في تطبيقاتك — لا ينبغي لتطبيق ويب أن يمتلك صلاحيات Admin على S3 أو قواعد البيانات الإنتاجية.
4. إدارة الأسرار (Secrets Management): انقل جميع متغيرات البيئة الحساسة إلى خدمات إدارة أسرار مخصصة مثل AWS Secrets Manager أو HashiCorp Vault بدلاً من ملفات .env المحلية.
5. تفعيل WAF ومراقبة RSC: أضف قواعد WAF خاصة لرصد طلبات HTTP المشبوهة الموجهة لنقاط RSC، وفعّل تسجيل CloudTrail أو AWS GuardDuty لاكتشاف أي استخدام غير معتاد لمفاتيح الوصول.
6. الكشف عن الاختراقات السابقة: راجع سجلات الوصول لخوادم Next.js بأثر رجعي من يناير 2026 بحثاً عن نماذج الطلبات المرتبطة بـ UAT-10608 ومشاركتها مع فريق SOC.

الخلاصة

React2Shell ليست ثغرة عادية — إنها ثغرة درجة خطورتها القصوى 10/10 موجهة مباشرة نحو البنية التحتية للتطبيقات الحديثة التي تعتمد عليها المؤسسات المالية يومياً. المهاجمون لا ينتظرون: 766 خادماً مخترقاً في أيام معدودة يُثبت أن الاستغلال الآلي على نطاق واسع بات حقيقة واقعة. في بيئة تنظيمية تفرض فيها SAMA CSCC متطلبات صارمة لإدارة الهوية والوصول وحماية البيانات، تأخير التصحيح ليس مجرد خطر تقني — إنه خطر امتثالي وقانوني.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.