ثغرة NGINX Rift CVE-2026-42945: عيب عمره 18 عاماً يُسقط ملايين خوادم الويب بطلب HTTP واحد

كشف باحثون أمنيون عن ثغرة تجاوز ذاكرة الكومة (Heap Buffer Overflow) في وحدة إعادة الكتابة ngx_http_rewrite_module الخاصة بخادم NGINX، تحمل المعرّف CVE-2026-42945 وتقييم CVSS يبلغ 9.2. الثغرة المُلقّبة بـ "NGINX Rift" موجودة منذ عام 2008 — أي قبل أن تُنشأ معظم فرق أمن المعلومات في المؤسسات المالية السعودية — وتسمح لمهاجم غير مصادق بإسقاط عمليات العامل (Worker Processes) أو تنفيذ أوامر عن بُعد عبر طلب HTTP مُعدّ خصيصاً.

التفاصيل التقنية لثغرة NGINX Rift

تكمن المشكلة في طريقة معالجة وحدة ngx_http_rewrite_module لعمليات التقاط التعبيرات النمطية غير المسمّاة (Unnamed Regex Captures) مثل $1 و$2. عندما يحتوي توجيه rewrite على سلسلة استبدال تتضمن علامة استفهام، متبوعة بتوجيه rewrite أو if أو set آخر، يُمكن لمهاجم عن بُعد إرسال URI مُصمَّم بعناية لإفساد ذاكرة الكومة في عملية العامل. هذا النمط من الإعداد شائع جداً في ملفات تهيئة NGINX الإنتاجية، مما يجعل سطح الهجوم واسعاً بشكل مقلق.

تتراوح النتائج بين إيقاف خدمة العامل بالكامل (Denial of Service) وتنفيذ تعليمات برمجية عشوائية (Remote Code Execution) على الأنظمة التي لا تُفعّل آلية ASLR — وهو وضع لا يزال قائماً في بعض خوادم الإنتاج القديمة والأنظمة المدمجة.

نطاق التأثير والاستغلال الفعلي

تؤثر الثغرة على إصدارات NGINX Open Source من 0.6.27 حتى 1.30.0، وإصدارات NGINX Plus من R32 حتى R36، إضافة إلى منتجات F5 المبنية على NGINX مثل NGINX Ingress Controller وF5 WAF for NGINX. بدأت أنظمة رصد VulnCheck في تسجيل محاولات استغلال فعلية بتاريخ 16 مايو 2026 — أي بعد ثلاثة أيام فقط من الكشف العلني عن الثغرة ونشر شيفرة الاستغلال التجريبية (PoC). هذا الجدول الزمني المتسارع يعني أن نافذة الترقيع تقلّصت إلى ساعات وليس أسابيع.

لماذا تهمّ هذه الثغرة المؤسسات المالية السعودية تحديداً؟

تعتمد غالبية البنوك وشركات التأمين والتقنية المالية في المملكة على NGINX كوسيط عكسي (Reverse Proxy) أمام تطبيقات الخدمات المصرفية الإلكترونية وبوابات الدفع وواجهات API المفتوحة. ضمن إطار SAMA CSCC، يُلزم النطاق الفرعي 3.3.4 (إدارة الثغرات التقنية) المؤسسات بتطبيق التحديثات الأمنية الحرجة خلال إطار زمني لا يتجاوز 72 ساعة من الإفصاح. كما يُوجب إطار NCA ECC ضمن ضوابط إدارة التصحيحات (Patch Management) توثيق عملية التقييم والمعالجة لكل ثغرة حرجة.

إضافة لذلك، فإن أي اختراق لخادم NGINX يُعرّض بيانات العملاء المحمية بموجب نظام حماية البيانات الشخصية PDPL للتسريب، مما يُعرّض المؤسسة لعقوبات تنظيمية مزدوجة من SAMA والهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA). أما المؤسسات الخاضعة لمعيار PCI-DSS فإن الثغرة تمس مباشرة المتطلب 6.3.3 الخاص بتصحيح الثغرات الحرجة خلال 30 يوماً — لكن مع وجود استغلال فعلي، فإن الانتظار 30 يوماً ترف لا تملكه.

التوصيات والخطوات العملية

1. ترقية فورية: حدّث إلى NGINX Open Source 1.30.1 أو 1.31.0، أو NGINX Plus R32 P6 أو R36 P4. هذه أولوية P0 لا تحتمل التأجيل.
2. تدقيق إعدادات Rewrite: استبدل جميع التقاطات التعبيرات النمطية غير المسمّاة ($1, $2) بتقاطات مسمّاة (?P<name>...) لتجنّب مسار الشيفرة المعيب حتى بعد التحديث — طبقة حماية إضافية.
3. فحص سجلات WAF وIDS: ابحث عن طلبات HTTP تحتوي URIs طويلة بشكل غير طبيعي أو أنماط تقاط متعددة تستهدف نقاط النهاية المحمية بتوجيهات rewrite.
4. جرد شامل لأصول NGINX: لا تقتصر على خوادم الويب المباشرة — تحقق من NGINX Ingress Controllers في بيئات Kubernetes، وموازنات الحمل الداخلية، وبوابات API.
5. تفعيل ASLR: تأكد من تفعيل Address Space Layout Randomization على جميع الخوادم التي تشغّل NGINX. تعطيل ASLR يحوّل الثغرة من إيقاف خدمة إلى تنفيذ أوامر كامل.
6. اختبار اختراق مستهدف: نفّذ اختبار اختراق يُحاكي سيناريو الاستغلال الفعلي لثغرة CVE-2026-42945 على بيئة ما قبل الإنتاج للتحقق من فعالية الترقيع والضوابط التعويضية.

الخلاصة

ثغرة NGINX Rift تذكير صارخ بأن الديون التقنية في مكونات البنية التحتية الأساسية يمكن أن تتحول إلى كارثة أمنية بعد عقدين من السكون. خادم NGINX يمر عبره أكثر من 34% من حركة الويب العالمية، وفي القطاع المالي السعودي تحديداً يُشكّل العمود الفقري لتوصيل الخدمات الرقمية. الاستغلال الفعلي بدأ، وشيفرة الهجوم متاحة علنياً — لم يعد السؤال "هل سنُستهدف" بل "متى".

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل جرد أصول NGINX وتقييم إعدادات الأمان وفحص الثغرات المعروفة.