ثغرة React2Shell تُمكّن قراصنة من سرقة بيانات اعتماد 766 خادم Next.js عبر طلب HTTP واحد

كشف باحثو Cisco Talos عن حملة قرصنة منظمة نفّذها ممثل تهديد يُعرف باسم UAT-10608، استغل فيها ثغرة React2Shell (CVE-2025-55182) بدرجة خطورة CVSS 10.0 لاختراق 766 خادم Next.js على الأقل، وجمع أكثر من 10,000 ملف يحتوي مفاتيح API سرية وبيانات اعتماد سحابية وتوكنات SSH ومفاتيح قواعد بيانات — كل ذلك عبر طلب HTTP واحد مصمّم بعناية.

ما هي ثغرة React2Shell وكيف تعمل؟

تُصيب الثغرة CVE-2025-55182 مكوّنات React Server Components المستخدمة في إطار عمل Next.js، وتسمح لمهاجم غير موثّق بتنفيذ أوامر عشوائية (Remote Code Execution) على الخادم المستهدف دون الحاجة لأي صلاحيات مسبقة. الخطورة الاستثنائية لهذه الثغرة تكمن في بساطتها: طلب HTTP واحد مُعدّ بشكل خاص يكفي للحصول على تحكم كامل بالخادم. أصدرت Next.js تصحيحاً أمنياً في ديسمبر 2025، لكن آلاف الخوادم حول العالم لا تزال تعمل بإصدارات مصابة.

تشريح حملة UAT-10608: من المسح الآلي إلى سرقة الأسرار

يعتمد المهاجمون على أدوات مسح آلية تستخدم محركات مثل Shodan وCensys لتحديد تطبيقات Next.js المكشوفة والمصابة. بعد تحقيق الوصول الأولي عبر استغلال الثغرة، تُنشر سكربتات آلية وإطار عمل يُدعى Nexus Listener لجمع البيانات الحساسة بسرعة وكفاءة. وقد وثّق باحثو Talos العثور على نسخة مكشوفة من منصة المهاجمين تحتوي كمّاً هائلاً من البيانات المسروقة.

تشمل البيانات التي جُمعت: مفاتيح Stripe API للمدفوعات الإلكترونية، توكنات GitHub وGitLab، بيانات اعتماد Telegram Bot، مفاتيح Webhook، سلاسل اتصال قواعد البيانات (Database Connection Strings)، مفاتيح SSH الخاصة، أسرار AWS، ومفاتيح منصات الذكاء الاصطناعي مثل OpenAI وAnthropic. هذا التنوع يكشف أن الهدف ليس فقط اختراق التطبيق نفسه، بل التوغل عميقاً في البنية التحتية السحابية بأكملها.

لماذا تُشكّل هذه الحملة تهديداً مباشراً للمؤسسات المالية السعودية؟

تعتمد كثير من المؤسسات المالية السعودية على تطبيقات ويب مبنية بإطارات عمل حديثة مثل Next.js لتقديم خدمات الخدمات المصرفية الرقمية وبوابات العملاء ولوحات الإدارة الداخلية. تسريب ملف .env واحد من أحد هذه التطبيقات قد يكشف بيانات اعتماد قواعد البيانات المالية ومفاتيح بوابات الدفع الإلكتروني وتوكنات التكامل مع الأنظمة المصرفية الأساسية (Core Banking).

يُلزم إطار SAMA CSCC المؤسسات المالية بتطبيق ضوابط صارمة لإدارة الثغرات الأمنية (Vulnerability Management) وفق النطاق 3.3، ويشترط معيار NCA ECC في البند 2-7-3 تطبيق التصحيحات الأمنية الحرجة خلال إطار زمني لا يتجاوز 72 ساعة. كما يفرض نظام حماية البيانات الشخصية PDPL عقوبات مشددة في حال تسريب بيانات العملاء نتيجة إهمال في تحديث الأنظمة. بيئة .env المكشوفة التي تحتوي بيانات اتصال بقاعدة بيانات العملاء تُعدّ انتهاكاً مباشراً لمتطلبات PCI-DSS الخاصة بحماية بيانات حاملي البطاقات.

الدروس التقنية المستفادة: لماذا تتكرر هذه الأخطاء؟

تكشف هذه الحملة عن ثلاث إشكاليات متكررة في ممارسات DevOps لدى المؤسسات. الأولى هي تخزين الأسرار في ملفات .env مباشرة على الخادم بدلاً من استخدام حلول إدارة الأسرار مثل HashiCorp Vault أو AWS Secrets Manager. الثانية هي غياب عمليات مسح الثغرات الدورية لتطبيقات الويب ومكتباتها، خصوصاً مكتبات JavaScript التي تُحدَّث بوتيرة عالية. الثالثة هي ضعف مراقبة حركة البيانات الخارجة (Egress Monitoring)، حيث تمكّن المهاجمون من نقل آلاف الملفات دون اكتشافهم.

التوصيات والخطوات العملية

1. تحديث Next.js فوراً: تأكد من تشغيل الإصدار 14.2.25 أو 15.1.3 أو أحدث الذي يعالج CVE-2025-55182. نفّذ جرداً شاملاً لجميع تطبيقات Next.js في بيئتك بما فيها بيئات التطوير والاختبار.
2. نقل الأسرار إلى Vault مركزي: انقل جميع مفاتيح API والتوكنات وبيانات الاعتماد من ملفات .env إلى حل إدارة أسرار مخصص مع تفعيل التدوير التلقائي (Automatic Rotation) كل 90 يوماً كحد أقصى.
3. تفعيل مراقبة Egress صارمة: طبّق قواعد جدار حماية تمنع الاتصالات الخارجية غير المصرح بها من خوادم التطبيقات، واستخدم SIEM لرصد أي نقل بيانات غير طبيعي.
4. إجراء مسح SCA دوري: استخدم أدوات Software Composition Analysis مثل Snyk أو Dependabot لمراقبة مكتبات JavaScript والتنبيه الفوري عند اكتشاف ثغرات حرجة في التبعيات.
5. مراجعة صلاحيات مفاتيح API: طبّق مبدأ الحد الأدنى من الصلاحيات (Least Privilege) على جميع مفاتيح API وتوكنات الوصول، وأبطل فوراً أي مفتاح يُشتبه في تسريبه.
6. إضافة WAF مع قواعد مخصصة: فعّل Web Application Firewall مع توقيعات مخصصة لحظر أنماط استغلال React2Shell، وراقب سجلات الطلبات المشبوهة على مسارات Server Components.

الخلاصة

حملة UAT-10608 ليست مجرد استغلال لثغرة تقنية، بل هي عملية منظمة لحصاد البنية التحتية السحابية بأكملها من خلال نقطة دخول واحدة. ملف .env واحد مكشوف قد يفتح الباب لاختراق قواعد البيانات المالية وبوابات الدفع وأنظمة التكامل المصرفي. المؤسسات المالية السعودية التي تعتمد على تطبيقات Next.js يجب أن تتعامل مع هذا التهديد بأولوية قصوى وتتحقق من تطبيق التصحيحات وحماية الأسرار قبل فوات الأوان.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومراجعة أمن تطبيقات الويب في بيئتك المالية.