تم اكتشاف ثغرة أمنية جديدة في أنظمة NGINX Plus و NGINX Open، وبدأت جهات خبيثة في استغلالها منذ أيام قليلة بعد الكشف عنها رسمياً. تشير تقارير أمنية إلى أن هذه الثغرة، المعروفة برقم CVE-2026-42945، قد تؤدي إلى عواقب وخيمة على أمن خوادم الويب.
تتعلق الثغرة بوجود فيض في سعة ذاكرة التخزين المؤقت (heap buffer overflow) ضمن وحدة ngx_http_rewrite_module، وتؤثر على إصدارات NGINX من 0.6.27 إلى 1.30.0. وبحسب التقييمات الأولية، فإن إمكانية استغلالها تسمح لمهاجم غير مصرح له بإسقاط عمليات الخادم أو حتى تنفيذ تعليمات برمجية عن بعد باستخدام طلبات HTTP معدلة.
استغلال ثغرة NGINX الأمنية
تُعد مشكلة فيض ذاكرة التخزين المؤقت بحد ذاتها خطيرة، حيث يمكن أن تؤدي إلى تعطيل الخدمات. ومع ذلك، فإن إمكانية تنفيذ التعليمات البرمجية عن بعد (RCE) تتطلب شروطاً إضافية، أهمها أنظمة الحماية من هجمات الذاكرة مثل Randomization of Address Space Layout (ASLR) يجب أن تكون معطلة على النظام المستهدف.
يشير بعض الخبراء إلى أن استغلال الثغرة لتحقيق تنفيذ كود برمجي عن بعد ليس بالأمر السهل ويتطلب معرفة دقيقة بتكوينات NGINX المحددة. ومع ذلك، فإن مخاطر تعطيل الخدمات (DoS) تبقى قائمة ومباشرة، مما يستدعي التعامل معها كخطر عاجل.
بحسب أحدث البيانات، رصدت شركة VulnCheck محاولات لاستغلال هذه الثغرة على شبكاتها لرصد التهديدات. ولا تزال طبيعة الهجمات وأهدافها النهائية قيد التحقيق. تنصح الشركات والمؤسسات بتحديث أنظمة NGINX الخاصة بها إلى أحدث الإصدارات المتوفرة من F5، لضمان الحماية من التهديدات النشطة.
ثغرات أخرى في أنظمة إدارة البنية التحتية لمراكز البيانات
بالتوازي مع تطورات ثغرة NGINX، كشفت VulnCheck أيضاً عن استغلال نشط لثغرتين أمنيتين حرجتين في نظام openDCIM، وهو تطبيق مفتوح المصدر يستخدم لإدارة البنية التحتية لمراكز البيانات. وتُصنف كلتا الثغرتين بدرجة خطورة 9.3 على مقياس CVSS.
الثغرة الأولى (CVE-2026-28515) تتعلق بنقص في آليات التفويض، مما قد يسمح لمستخدم مصرح له بالوصول إلى وظائف تكوين LDAP دون الحاجة لصلاحيات محددة. وفي بيئات Docker التي يتم فيها تعيين REMOTE_USER دون فرض التحقق، يمكن الوصول إلى هذه الوظيفة دون الحاجة إلى بيانات اعتماد، مما يتيح التلاعب بإعدادات التطبيق.
الثغرة الثانية (CVE-2026-28517) هي ثغرة حقن أوامر في نظام التشغيل، وتؤثر على مكون report_network_map.php. حيث يقوم هذا المكون بمعالجة معلمة “dot” دون تنقية كافية، مما يسمح بتمريرها مباشرة إلى أمر Shell، وبالتالي تمكين تنفيذ تعليمات برمجية عشوائية.
تم اكتشاف هاتين الثغرتين، بالإضافة إلى ثغرة حقن SQL برقم CVE-2026-28516 (بدرجة خطورة 9.3)، بواسطة باحث الأمن فالنتين لوبشتاين في فبراير 2026. وبحسب لوبشتاين، يمكن ربط هذه الثغرات معاً لتحقيق تنفيذ كود عن بعد عبر خمس طلبات HTTP، وإنشاء اتصال عكسي.
وتشير التقارير إلى أن النشاط المكتشف يعود إلى عنوان IP صيني واحد، ويستخدم أداة اكتشاف تسمى Vulnhuntr لتحديد الأنظمة المستهدفة تلقائياً قبل نشر وبر نصي PHP (web shell). هذا التطور يبرز أهمية اليقظة الأمنية المستمرة وتطبيق التحديثات بشكل استباقي.