ثغرة NGINX Rift الحرجة CVE-2026-42945: طلب HTTP واحد يُسقط ملايين الخوادم منذ 2008

كشفت F5 ومنصة depthfirst في 13 مايو 2026 عن ثغرة NGINX Rift المصنفة CVE-2026-42945 بدرجة خطورة 9.2 على مقياس CVSS v4.0، وهي ثغرة تجاوز سعة المخزن المؤقت في الكومة (Heap Buffer Overflow) تطال كل إصدار من NGINX بين 0.6.27 و1.30.0 — أي أن الخلل كامن في الكود المصدري منذ عام 2008. التقارير الميدانية من VulnCheck تؤكد وجود استغلال نشط خلال أيام من الإفصاح، مما يجعل الترقيع الفوري ضرورة لا تحتمل التأجيل.

ما هي ثغرة NGINX Rift وكيف تعمل تقنياً؟

يقع الخلل في وحدة ngx_http_rewrite_module تحديداً في ملف src/http/ngx_http_script.c. يعتمد محرك السكربتات في NGINX على نظام تمريرتين (Two-Pass): الأولى لحساب الطول المطلوب والثانية لنسخ البيانات. المشكلة أن علامة حالة is_args التي تُضبط أثناء مرحلة حساب الطول تتسرب إلى مرحلة النسخ، فتتسبب دالة ngx_escape_uri في الكتابة خارج حدود الذاكرة المخصصة. يُشترط لتفعيل الثغرة أن يستخدم ملف الإعدادات التقاطات PCRE غير المسماة (مثل $1 أو $2) مع وجود علامة استفهام (?) في نص الاستبدال ضمن توجيهات rewrite أو if أو set.

آلية الاستغلال: طلب HTTP واحد يكفي

لا يحتاج المهاجم إلى أي مصادقة. يكفي إرسال طلب HTTP مُصاغ بعناية يحتوي على أنماط متكررة مكثفة — كسلسلة طويلة من أحرف + — لتجاوز عمليات التحقق من الطول القياسية. عندما تعالج وحدة إعادة الكتابة هذا المدخل مقابل الإعدادات المعرضة للخطر، يتجاوز حجم الذاكرة المخصصة على الكومة مما يؤدي إلى إفساد الذاكرة (Memory Corruption). النتيجة المباشرة هي حجب الخدمة (DoS)، لكن الباحثين يحذرون من إمكانية تصعيد الاستغلال إلى تنفيذ أكواد عن بُعد (RCE) في ظروف معينة.

نطاق التأثير: أرقام مذهلة

بحسب إحصائيات Netcraft وW3Techs، يشغّل NGINX ما يزيد عن 34% من خوادم الويب عالمياً، ويُستخدم كوكيل عكسي وموازن أحمال في البنى التحتية الحرجة للبنوك وشركات التأمين ومنصات التقنية المالية. الثغرة تطال NGINX Open Source من 0.6.27 حتى 1.30.0، وNGINX Plus من R32 حتى R36، بالإضافة إلى كل توزيعة مشتقة تحزم نفس الملف المصدري. هذا يعني أن ملايين الخوادم حول العالم — بما فيها خوادم في المملكة العربية السعودية — معرضة للخطر ما لم تُرقَّع فوراً.

التأثير على المؤسسات المالية السعودية

تعتمد غالبية البنوك وشركات التأمين وشركات التقنية المالية في المملكة على NGINX كطبقة أمامية لتطبيقات الخدمات المصرفية الإلكترونية وواجهات API المفتوحة. إطار SAMA CSCC في نطاق التحكم 3.3.3 (إدارة الثغرات) يُلزم المؤسسات المالية بتطبيق الترقيعات الحرجة خلال إطار زمني لا يتجاوز 72 ساعة من الإفصاح. كذلك يشدد إطار NCA ECC في ضوابط إدارة الثغرات التقنية على ضرورة وجود برنامج استباقي لرصد الثغرات وترقيعها. المؤسسة التي تتأخر في معالجة CVE-2026-42945 تخاطر بعدة أمور: حجب خدماتها الرقمية أمام العملاء، واحتمال اختراق أعمق إذا تحول الاستغلال إلى RCE، فضلاً عن مخالفة تنظيمية قد تترتب عليها غرامات وإجراءات تصحيحية من ساما.

التوصيات والخطوات العملية

1. ترقية فورية: حدّث NGINX Open Source إلى الإصدار 1.30.1 (المستقر) أو 1.31.0 (الرئيسي)، وNGINX Plus إلى الإصدار المُرقَّع الصادر من F5. لا تنتظر دورة الصيانة الدورية.
2. تدقيق إعدادات إعادة الكتابة: افحص جميع ملفات nginx.conf بحثاً عن توجيهات rewrite أو if أو set تستخدم التقاطات غير المسماة مع علامة استفهام في نص الاستبدال. إذا تعذرت الترقية فوراً، عدّل الإعدادات لاستخدام التقاطات المسماة كحل مؤقت.
3. تفعيل قواعد WAF: أضف قاعدة في جدار حماية تطبيقات الويب لحظر الطلبات التي تحتوي على أنماط متكررة مشبوهة في URI تستهدف مسارات إعادة الكتابة.
4. مراقبة السجلات: راقب سجلات الأخطاء بحثاً عن تعطل مفاجئ لعمليات NGINX العاملة (worker process crashes) أو رسائل segfault، فهي مؤشر مبكر على محاولات استغلال.
5. جرد الأصول: تأكد من أن سجل أصولك يشمل كل مثيل NGINX في بيئتك — بما في ذلك الحاويات وصور Docker والبيئات السحابية — لضمان عدم بقاء أي خادم دون ترقيع.
6. إبلاغ فريق الامتثال: وثّق إجراءات الاستجابة وأطر الترقيع الزمنية لإثبات الامتثال لمتطلبات SAMA CSCC وNCA ECC في حال التدقيق.

الخلاصة

ثغرة NGINX Rift ليست مجرد خلل تقني عابر — إنها ثغرة عمرها 18 عاماً ظلت كامنة في واحد من أكثر مكونات البنية التحتية انتشاراً على الإنترنت. الاستغلال النشط الذي رصده VulnCheck يعني أن المهاجمين لن ينتظروا، وكذلك لا ينبغي لفرق الأمن السيبراني في المؤسسات المالية السعودية أن تنتظر. الترقية إلى الإصدارات المُرقَّعة اليوم هي الخطوة الأولى، لكن الدرس الأعمق هو ضرورة بناء برنامج إدارة ثغرات ناضج يكتشف هذه المخاطر ويعالجها قبل أن يستغلها المهاجمون.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومراجعة شاملة لإعدادات NGINX في بيئتك.