MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
AI

استغلال ثغرة NGINX CVE-2026-42945 في البرية: تعطل خوادم واحتمال تنفيذ أوامر عن بعد

استكشف تفاصيل استغلال ثغرة NGINX (CVE-2026-42945) الحرجة في البرية وتأثيرها المباشر على الخوادم، بالإضافة لهجمات openDCIM لتنفيذ أوامر عن بعد باحتراف.

استغلال ثغرة NGINX CVE-2026-42945 في البرية: تعطل خوادم واحتمال تنفيذ أوامر عن بعد

التاريخ: 17 مايو 2026 | الكاتب: المايسترو نيرو "Maestro Nero"
NGINX

تعرضت ثغرة أمنية تم الكشف عنها حديثاً وتؤثر على (NGINX Plus) و (NGINX Open) للاستغلال النشط في البرية، وذلك بعد أيام من الكشف عنها للجمهور، وفقاً لشركة VulnCheck.

تُعرف هذه الثغرة باسم (CVE-2026-42945) (بدرجة خطورة CVSS: 9.2)، وهي عبارة عن تجاوز سعة المخزن المؤقت للذاكرة (Heap Buffer Overflow) في وحدة (ngx_http_rewrite_module)، مما يؤثر على إصدارات (NGINX) من 0.6.27 وحتى 1.30.0. ووفقاً لشركة الأمن السيبراني المدعومة بالذكاء الاصطناعي (depthfirst)، فإن هذه الثغرة موجودة في الكود منذ عام 2008.

يمكن أن يؤدي الاستغلال الناجح للثغرة إلى السماح لمهاجم غير مصادق عليه بإيقاف عمليات المعالجة (Worker Processes) أو تنفيذ أوامر برمجية عن بُعد عبر إرسال طلبات (HTTP) معدلة خصيصاً. ومع ذلك، تجدر الإشارة إلى أن تنفيذ الأوامر البرمجية لا يكون ممكناً إلا على الأجهزة التي تم فيها تعطيل ميزة التوزيع العشوائي لمساحة العناوين (ASLR)، وهي آلية حماية أساسية ضد الهجمات المستندة إلى الذاكرة.

قال الباحث الأمني كيفين بومونت: "يعتمد الأمر على وجود إعدادات (NGINX) محددة لتكون عرضة للخطر، ويجب على المهاجم معرفة هذه الإعدادات أو اكتشافها ليتمكن من استغلالها. وللوصول إلى تنفيذ أوامر عن بُعد (RCE)، يجب أيضاً أن تكون ميزة (ASLR) معطلة على الخادم المستهدف."

في تقييم مشابه، صرح مطورو نظام (AlmaLinux): "إن تحويل تجاوز سعة الذاكرة (Heap Overflow) إلى تنفيذ موثوق للأوامر البرمجية ليس بالأمر السهل في الإعدادات الافتراضية، وعلى الأنظمة التي تم تفعيل ميزة (ASLR) فيها (وهو الإعداد الافتراضي في جميع إصدارات AlmaLinux المدعومة)، لا نتوقع أن يكون من السهل إنتاج استغلال عام وموثوق."

وأضاف المطورون: "ومع ذلك، فإن 'ليس سهلاً' لا يعني 'مستحيلاً'، كما أن التسبب في هجوم حجب الخدمة (DoS) عبر تعطل عمليات المعالجة يُعد قابلاً للاستغلال بدرجة كافية بحد ذاته، لذا نوصي بالتعامل مع هذا الأمر بشكل عاجل."

تُظهر أحدث النتائج من شركة (VulnCheck) أن الجهات الفاعلة في مجال التهديدات قد بدأت في تسليح هذه الثغرة، حيث تم رصد محاولات استغلال ضد شبكات مصائد المخترقين (Honeypot) الخاصة بها. لا تزال طبيعة نشاط الهجوم والأهداف النهائية غير معروفة حتى الآن. يُنصح المستخدمون بتطبيق أحدث التصحيحات من شركة (F5) لتأمين شبكاتهم ضد التهديدات النشطة.

استغلال ثغرات في (openDCIM) أيضاً

يأتي هذا التطور في الوقت الذي كشفت فيه (VulnCheck) أيضاً عن جهود استغلال تستهدف ثغرتين حرجتين في (openDCIM)، وهو تطبيق مفتوح المصدر يُستخدم لإدارة البنية التحتية لمراكز البيانات. الثغرتان، اللتان حصلتا على تصنيف 9.3 في نظام (CVSS)، هما كالتالي:

  • CVE-2026-28515: ثغرة نقص في المصادقة يمكن أن تسمح لمستخدم مصادق عليه بالوصول إلى وظائف تكوين (LDAP) بغض النظر عن الامتيازات المعينة له. في بيئات نشر (Docker) حيث يتم تعيين (REMOTE_USER) دون فرض المصادقة، قد يكون من الممكن الوصول إلى نقطة النهاية (Endpoint) بدون بيانات اعتماد، مما يسمح بتعديل غير مصرح به لتكوين التطبيق.
  • CVE-2026-28517: ثغرة حقن أوامر نظام التشغيل (OS Command Injection) تؤثر على المكون "report_network_map.php" الذي يقوم بمعالجة معلمة تسمى "dot" بدون تعقيم، ويمررها مباشرة إلى أمر موجه النظام (Shell)، مما يؤدي إلى تنفيذ تعليمات برمجية عشوائية.

تم اكتشاف هاتين الثغرتين جنباً إلى جنب مع ثغرة CVE-2026-28516 (بدرجة خطورة CVSS: 9.3)، وهي ثغرة حقن (SQL) في (openDCIM)، بواسطة الباحث الأمني في (VulnCheck)، فالنتين لوبشتاين في فبراير 2026. ووفقاً لـ لوبشتاين، يمكن ربط هذه الثغرات الثلاث معاً لتحقيق تنفيذ أوامر عن بُعد عبر خمسة طلبات (HTTP) فقط وإنشاء غلاف عكسي (Reverse Shell).

قالت كايتلين كوندون، نائبة رئيس قسم الأبحاث الأمنية في شركة (VulnCheck): "إن مجموعة نشاط المهاجمين التي نرصدها حتى الآن تنبع من عنوان (IP) صيني واحد، وتستخدم ما يبدو أنه تطبيق مخصص لأداة اكتشاف الثغرات بالذكاء الاصطناعي (Vulnhuntr) للتحقق تلقائياً من المنصات الضعيفة قبل إسقاط غلاف ويب (PHP Web Shell)."