كشفت شركة VulnCheck أن ثغرة أمنية جديدة في خوادم NGINX Plus وNGINX Open قد دخلت مرحلة الاستغلال الفعلي بعد أيام قليلة من إعلانها للعامة. الثغرة، التي تحمل الرمز CVE-2026-42945 وتقييم خطورة 9.2 وفق مقياس CVSS، هي تجاوز سعة الذاكرة (Heap Buffer Overflow) في وحدة ngx_http_rewrite_module، وتؤثر على الإصدارات من 0.6.27 حتى 1.30.0.
تفاصيل الثغرة وإمكانية الاستغلال
بحسب شركة الأمن السيبراني depthfirst، فإن الخطأ البرمجي يعود إلى عام 2008. الاستغلال الناجح يسمح للمهاجم غير المصرح له بإرسال طلبات HTTP مصممة خصيصاً تؤدي إلى انهيار عمليات العمال (Worker Processes)، أو حتى تنفيذ أوامر عن بُعد (RCE) في حال تعطيل خاصية ASLR (Address Space Layout Randomization) على الجهاز المستهدف.
الباحث الأمني كيفن بومونت أوضح أن الوصول إلى تنفيذ الأوامر يتطلب معرفة دقيقة بتكوين NGINX المستهدف، إضافة إلى تعطيل ASLR، وهو ما يجعل الاستغلال أقل شيوعاً لكنه ليس مستحيلاً. أما فريق AlmaLinux فقد أكد أن تحويل الثغرة إلى استغلال موثوق ليس بالأمر السهل في الإعدادات الافتراضية، لكنه شدد على أن هجمات حجب الخدمة (DoS) الناتجة عن انهيار العمال كافية لتصنيف الثغرة كتهديد عاجل.
نشاط استغلال فعلي وتحذيرات عاجلة
أظهرت بيانات VulnCheck أن محاولات استغلال الثغرة بدأت بالفعل ضد شبكات Honeypot الخاصة بها، رغم أن أهداف الهجمات لم تتضح بعد. ونصحت الشركة المستخدمين بتطبيق التحديثات الأخيرة الصادرة عن F5 بشكل فوري لتأمين الشبكات ضد التهديدات النشطة.
ثغرات إضافية في openDCIM
في سياق متصل، كشفت VulnCheck عن استغلال ثغرات حرجة في تطبيق openDCIM مفتوح المصدر لإدارة البنية التحتية لمراكز البيانات، جميعها بتقييم خطورة 9.3:
- CVE-2026-28515: ثغرة غياب التحقق من الصلاحيات، تسمح بالوصول إلى إعدادات LDAP حتى دون امتلاك صلاحيات مناسبة.
- CVE-2026-28517: ثغرة حقن أوامر نظام تشغيل في ملف report_network_map.php، حيث يُمرر معامل “dot” مباشرة إلى أوامر Shell دون تعقيم.
- CVE-2026-28516: ثغرة حقن SQL تسمح بتنفيذ استعلامات ضارة.
الباحث الأمني فالنتين لوبستين أوضح أن هذه الثغرات يمكن ربطها معاً لتنفيذ أوامر عن بُعد عبر خمسة طلبات HTTP فقط، وصولاً إلى إنشاء Reverse Shell.
نشاط هجومي من مصدر صيني
أشارت Caitlin Condon نائبة رئيس الأبحاث في VulnCheck إلى أن النشاط الهجومي المرصود حتى الآن مصدره عنوان IP صيني واحد، ويستخدم نسخة مخصصة من أداة اكتشاف الثغرات بالذكاء الاصطناعي Vulnhuntr لفحص الأنظمة الضعيفة تلقائياً قبل زرع Web Shell بلغة PHP.
هذه التطورات تؤكد أن الثغرات في البرمجيات مفتوحة المصدر مثل NGINX وopenDCIM أصبحت أهدافاً رئيسية للهجمات السيبرانية، وأن سرعة الاستجابة عبر التحديثات الأمنية باتت عاملاً حاسماً في حماية البنية التحتية الرقمية.
