استغلال Next.js React2Shell على نطاق واسع يخترق 766 خادمًا، بروتوكول Drift يخسر 280 مليون دولار في اختراق Solana متعدد التوقيعات، Cisco تصحح ثغرتين حرجتين بتقييم CVSS 9.8، سلسلة RCE قبل المصادقة في ShareFile تكشف 30 ألف نسخة
🔴 استغلال Next.js React2Shell على نطاق واسع — حملة NEXUS Listener تخترق 766 خادمًا
⚠️ حرج — صحّح Next.js فورًا (CVE-2025-55182، CVSS 10.0)
عملية جمع بيانات اعتماد آلية واسعة النطاق تستغل بنشاط ثغرة React2Shell في نشرات Next.js App Router. تم اختراق 766 خادمًا على الأقل عبر مزودي سحابة متعددين. قم بتدوير جميع الأسرار على أي خادم متأثر.
نشر Cisco Talos تقريرًا مفصلاً عن UAT-10608 — مجموعة تهديد تدير عملية جمع بيانات اعتماد على نطاق صناعي من خلال استغلال CVE-2025-55182 — الثغرة الحرجة في React Server Components / Next.js App Router المعروفة باسم React2Shell التي تتيح تنفيذ التعليمات البرمجية عن بُعد.
الهجوم مؤتمت بدرجة عالية: يقوم فاعل التهديد بمسح نشرات Next.js المتاحة للعامة واختبارها للثغرة ونشر إطار جمع NEXUS Listener — مجموعة أدوات جمع متعددة المراحل في إصدارها الرئيسي الثالث الآن.
ما يتم سرقته
- متغيرات البيئة من نظام التشغيل وبيئة تشغيل JS
- مفاتيح SSH الخاصة وملفات authorized_keys
- سجل أوامر Shell (.bash_history، .zsh_history)
- رموز حساب خدمة Kubernetes
- تكوينات حاوية Docker (الصور والمنافذ والشبكات والتثبيتات ومتغيرات البيئة)
- بيانات اعتماد Cloud IAM عبر Instance Metadata Service لـ AWS وGCP وAzure
- مفاتيح API — Stripe وOpenAI وAnthropic وNVIDIA NIM وSendGrid وBrevo وGitHub وGitLab
- سلاسل اتصال قاعدة البيانات ورموز بوت Telegram
لوحة تحكم NEXUS Listener C2
البيانات المسربة تتدفق إلى واجهة ويب محمية بكلمة مرور تسمى NEXUS Listener V3، توفر للمهاجم وصولاً قابلاً للبحث إلى جميع الخوادم المخترقة وبيانات الاعتماد المسروقة والتحليلات. حصل Talos على بيانات من نسخة NEXUS Listener غير محمية، مؤكدًا نطاق المواد المسروقة.
يشير نمط الاستهداف العشوائي إلى أن UAT-10608 يستخدم ماسحات آلية (Shodan أو Censys أو مخصصة) لتحديد نشرات Next.js الضعيفة على نطاق الإنترنت. يجب على المؤسسات التي تشغل Next.js مع App Router التصحيح فورًا وتدوير جميع الأسرار — مفاتيح AWS وبيانات اعتماد قاعدة البيانات ومفاتيح SSH ورموز API — على أي خادم ربما تعرض.
💰 بروتوكول Drift يخسر 280 مليون دولار في اختراق Solana متعدد التوقيعات المتطور
⚠️ حرج — جميع وظائف Drift Protocol مجمدة
تم سحب أكثر من 280 مليون دولار من Drift Protocol بعد أن اختطف مهاجم صلاحيات التوقيع المتعدد لمجلس الأمان باستخدام معاملات durable nonce موقعة مسبقًا. الودائع والخزائن وأموال التداول متأثرة. لا تودع أموالاً.
Drift Protocol، منصة تداول DeFi رائدة على بلوكتشين Solana مع 200,000 متداول وحجم تداول إجمالي 55 مليار دولار، خسرت ما لا يقل عن 280 مليون دولار في سرقة مخططة بدقة لم تستغل أي ثغرة في العقود الذكية.
| التاريخ | الإجراء |
|---|---|
| 23-30 مارس | المهاجم يُعد حسابات durable nonce ويحصل على موافقات 2/5 من أعضاء مجلس الأمان |
| 1 أبريل (التنفيذ) | تنفيذ معاملة مشروعة تليها فورًا معاملات خبيثة موقعة مسبقًا |
| بعد دقائق | نقل السيطرة الإدارية للمهاجم، إدخال أصل خبيث، إزالة حدود السحب |
| 1 أبريل (السحب) | سحب أكثر من 280 مليون دولار من احتياطيات البروتوكول |
ما يميز هذا الهجوم
استغل المهاجم حسابات durable nonce — ميزة في Solana تسمح للمعاملات الموقعة مسبقًا بالبقاء صالحة إلى أجل غير مسمى — لتحضير السرقة قبل أيام. بالحصول على الحد الأدنى من موافقات 2/5 لمجلس الأمان والتوقيع المسبق على معاملات خبيثة، تمكن المهاجم من تنفيذ السحب بدقة جراحية في اللحظة المختارة.
لم يكن هذا خطأ في العقد الذكي أو هجوم قرض فوري — كان اختراقًا على مستوى الحوكمة استغل نموذج الثقة للإدارة متعددة التوقيعات. يعمل Drift مع شركات الأمن والبورصات وجهات إنفاذ القانون لتتبع وتجميد الأموال المسروقة. DSOL غير متأثر وأصول صندوق التأمين مؤمنة.
🛡️ Cisco تصحح ثغرتين حرجتين بتقييم CVSS 9.8 في IMC وSSM
⚠️ حرج — صحّح IMC (CVE-2026-20093) وSSM (CVE-2026-20160) فورًا
كلتا الثغرتين تسمحان للمهاجمين عن بُعد غير المصادقين بالحصول على وصول admin/root. لا توجد حلول بديلة — التصحيح هو التخفيف الوحيد.
CVE-2026-20093 — تجاوز مصادقة IMC (CVSS 9.8)
ثغرة في Cisco Integrated Management Controller تسمح للمهاجمين عن بُعد غير المصادقين بتجاوز المصادقة عبر إرسال طلبات HTTP مصممة. الاستغلال الناجح يمكّن المهاجمين من تغيير كلمات مرور أي مستخدم بما في ذلك المسؤولين والحصول على وصول كامل للنظام.
| Affected Product | Fixed Version |
|---|---|
| 5000 Series ENCS | 4.15.5 |
| Catalyst 8300 Edge uCPE | 4.18.3 |
| UCS C-Series M5/M6 Rack Servers | 4.3(2.260007), 4.3(6.260017), 6.0(1.250174) |
| UCS E-Series M3 | 3.2.17 |
| UCS E-Series M6 | 4.15.3 |
CVE-2026-20160 — حقن أوامر SSM On-Prem (CVSS 9.8)
كشف غير مقصود لخدمة داخلية في Cisco Smart Software Manager On-Prem يسمح للمهاجمين غير المصادقين بتنفيذ أوامر عشوائية بـصلاحيات root عبر طلبات API مصممة. تم الإصلاح في SSM On-Prem الإصدار 9-202601.
على الرغم من عدم استغلال أي من الثغرتين في البرية حتى الآن، فإن ثغرات Cisco المكتشفة حديثًا يتم تسليحها بسرعة من قبل فاعلي التهديد. بدون حلول بديلة متاحة، التصحيح الفوري هو الدفاع الوحيد.
📁 سلسلة RCE قبل المصادقة في Progress ShareFile — 30,000 نسخة معرضة
🟠 عالي — صحّح ShareFile Storage Zones Controller إلى 5.12.4
ثغرتان مترابطتان تتيحان تنفيذ التعليمات البرمجية عن بُعد بدون مصادقة على Progress ShareFile Storage Zones Controller. حوالي 30,000 نسخة معرضة على الإنترنت.
كشفت شركة الأمن الهجومي watchTowr عن سلسلة ثغرتين مدمرة في Progress ShareFile Storage Zones Controller (SZC) — المكون المحلي الذي يمنح المؤسسات التحكم في تخزين ملفاتها:
- CVE-2026-2699 — تجاوز المصادقة عبر معالجة غير صحيحة لإعادة توجيه HTTP يمنح الوصول لواجهة إدارة ShareFile
- CVE-2026-2701 — تنفيذ التعليمات البرمجية عن بُعد عبر وظيفة رفع واستخراج الملفات، مما يمكّن من وضع صدفات ويب ASPX خبيثة
لماذا هذا مهم
حلول نقل الملفات هي أهداف رئيسية لمجموعات الفدية — عصابة Clop استهدفت سابقًا Accellion FTA وSolarWinds Serv-U وGoAnywhere MFT وMOVEit Transfer وGladinet CentreStack وCleo. مع ~30,000 نسخة SZC معرضة على الإنترنت (700 مؤكدة من ShadowServer)، تتبع سلسلة الثغرات هذه نفس نمط القيمة العالية.
التصحيحات متاحة منذ 10 مارس في ShareFile 5.12.4. يجب على المؤسسات التي تشغل ShareFile مع مناطق تخزين محلية التعامل مع هذا كـأولوية طوارئ.
🍎 Apple توسع iOS 18.7.7 لصد مجموعة استغلال DarkSword
وسّعت Apple توفر iOS 18.7.7 وiPadOS 18.7.7 لمجموعة أوسع من الأجهزة للحماية من مجموعة استغلال DarkSword — أداة هجوم iOS نشطة منذ يوليو 2025 تستهدف المستخدمين في السعودية وتركيا وماليزيا وأوكرانيا.
يغطي التحديث الموسع الآن جميع هواتف iPhone من XR إلى iPhone 16e ومجموعة واسعة من أجهزة iPad. هذه خطوة غير عادية من Apple — بدلاً من إجبار المستخدمين على الانتقال إلى iOS 26، تقوم الشركة بنقل إصلاحات الأمان الحرجة للسماح للمستخدمين بالبقاء على iOS 18 مع الحفاظ على الحماية.
سيحصل المستخدمون الذين لديهم التحديثات التلقائية مفعلة على التصحيح تلقائيًا. يُحث من لم يحدّثوا بعد على القيام بذلك فورًا.
📋 أخبار سريعة
- استغلال تسريب Claude Code لنشر البرمجيات الخبيثة: فاعلو التهديد يوزعون Vidar infostealer وGhostSocks proxy tool عبر مستودعات GitHub مزيفة تدعي أنها كود Claude Code المسرب.
- Stryker تعمل بالكامل بعد هجوم المسح: Stryker استعادت العمليات بعد ثلاثة أسابيع من مسح مجموعة Handala المرتبطة بإيران لـ 80,000 جهاز تقريبًا.
- البروكسيات السكنية تتجاوز 78% من فحوصات IP: تُظهر الأبحاث أن البروكسيات السكنية المستخدمة لتوجيه حركة المرور الخبيثة تتجاوز بنجاح أنظمة سمعة IP في 78% من 4 مليارات جلسة محللة.
- تقرير المصادر المفتوحة الموثوقة 2026: تقرير Chainguard يسلط الضوء على كيفية إعادة تشكيل التطوير المتسارع بالذكاء الاصطناعي للمشهد الأمني.
🛡️ الإجراءات الموصى بها
- Next.js: صحّح جميع نشرات Next.js App Router ضد CVE-2025-55182 فورًا. دوّر جميع الأسرار (AWS، SSH، قاعدة البيانات، مفاتيح API) على أي خادم معرض محتمل.
- حوكمة DeFi: راجع تكوينات التوقيع المتعدد — تأكد من كفاية متطلبات العتبة وطبّق أقفال زمنية على العمليات الإدارية.
- Cisco: طبّق تصحيحات CVE-2026-20093 (IMC) وCVE-2026-20160 (SSM On-Prem) بدون تأخير.
- ShareFile: رقّ ShareFile Storage Zones Controller إلى الإصدار 5.12.4.
- Apple: تأكد من تحديث جميع أجهزة iOS/iPadOS إلى 18.7.7 أو أحدث.
- احتيال Claude Code: حذّر فرق التطوير من مستودعات Claude Code المزيفة على GitHub التي توزع برمجيات Vidar الخبيثة.
نشرة KENSAI الأمنية — 3 أبريل 2026
مُجمّعة من Cisco Talos وBleepingComputer وThe Hacker News وwatchTowr Labs وApple Security Updates وPeckShield.