ثغرة NGINX Rift — CVE-2026-42945: عيب عمره 18 عاماً يهدد ملايين الخوادم بتنفيذ كود عن بُعد

كشف باحثون أمنيون عن ثغرة حرجة في وحدة إعادة الكتابة ngx_http_rewrite_module بخادم NGINX، مختبئة في الكود المصدري منذ عام 2008. الثغرة المُعرَّفة بـ CVE-2026-42945 والمُلقَّبة بـ NGINX Rift تحمل تقييم CVSS v4 يبلغ 9.2 من 10، وتسمح لمهاجم غير مُصادَق بإسقاط عمليات العامل (worker process) أو تنفيذ كود خبيث عن بُعد عبر طلب HTTP واحد مُصمَّم بعناية.

ما هي ثغرة NGINX Rift وكيف تعمل؟

تكمن المشكلة في خلل من نوع Heap-Based Buffer Overflow داخل محرك إعادة الكتابة (rewrite engine) في NGINX. السبب الجذري هو تناقض في منطق الترميز (escaping logic): يحسب NGINX حجم المخزن المؤقت للوجهة (destination buffer) وفق مجموعة افتراضات معيّنة، لكنه ينسخ البيانات وفق افتراضات مختلفة. هذا التناقض يسمح لبايتات مشتقة من عنوان URI يتحكم فيه المهاجم بتجاوز حدود المخزن المؤقت المُخصَّص في ذاكرة الكومة (heap) لعملية العامل.

تتفعّل الثغرة عند توفر ثلاثة شروط في إعداد NGINX: استخدام توجيه rewrite يتضمن التقاطاً غير مُسمًّى مثل $1 أو $2 عبر PCRE، ووجود علامة استفهام ? في سلسلة الاستبدال، وتبعها توجيه rewrite أو if أو set آخر في نفس النطاق. هذا المزيج شائع جداً في إعدادات الإنتاج لتوجيه الطلبات وإعادة كتابة عناوين URL.

نطاق التأثير: أكثر خادم ويب انتشاراً في العالم

يُشغّل NGINX ما يزيد عن 34% من خوادم الويب عالمياً وفق إحصاءات W3Techs، ويُستخدم كوكيل عكسي (Reverse Proxy) وموازن أحمال (Load Balancer) في البنى التحتية للمؤسسات المالية والتقنية والحكومية. الثغرة موجودة منذ 18 عاماً كاملاً — أي أن كل نسخة من NGINX صدرت بين 2008 ومايو 2026 قد تكون عرضة للاستغلال إذا توفرت شروط التفعيل في ملفات الإعداد. التأثير المباشر يتراوح بين إسقاط الخدمة (DoS) وصولاً إلى تنفيذ كود عن بُعد (RCE) في الأنظمة التي لا تفعّل ASLR بالكامل.

التأثير على المؤسسات المالية السعودية

تعتمد معظم المؤسسات المالية في المملكة على NGINX ضمن طبقات الوكيل العكسي وبوابات API وخوادم تطبيقات الخدمات المصرفية الرقمية. إطار SAMA CSCC يُلزم المؤسسات المالية بتطبيق تصحيحات الثغرات الحرجة ضمن إطار زمني لا يتجاوز 72 ساعة من صدور التصحيح، وضابط NCA ECC 2-7-2 يشترط إدارة ثغرات مستمرة تشمل فحصاً دورياً لمكونات البنية التحتية بما فيها خوادم الويب ووكلاء التوزيع.

الخطورة الإضافية تكمن في أن NGINX كثيراً ما يعمل أمام الخدمات الداخلية الحساسة مثل أنظمة الدفع الإلكتروني وواجهات برمجة التطبيقات المصرفية المفتوحة (Open Banking APIs)، ما يجعل اختراقه بوابة مباشرة نحو البيانات المالية الخاضعة لحماية نظام PDPL.

التصحيحات المتاحة وخطوات المعالجة

1. الترقية الفورية: حدّث NGINX إلى الإصدار المُصحَّح — NGINX Open Source 1.31.0 أو 1.30.1، أو NGINX Plus R36 P4 / R32 P6 — حسب بيئتك الإنتاجية. هذه الخطوة غير قابلة للتأجيل.
2. حل مؤقت عاجل: إذا تعذرت الترقية الفورية، استبدل جميع التقاطات غير المُسمَّاة مثل $1 و$2 بتقاطات مُسمَّاة (named captures) في كل توجيهات rewrite المتأثرة في ملفات الإعداد.
3. فحص شامل للإعدادات: راجع جميع ملفات إعداد NGINX في بيئات الإنتاج والاختبار والتطوير بحثاً عن النمط المتأثر: rewrite مع $1/$2 وعلامة استفهام في الاستبدال.
4. تفعيل ASLR: تأكد من تفعيل Address Space Layout Randomization على جميع الخوادم التي تشغّل NGINX، فهذا يُصعّب استغلال الثغرة لتنفيذ كود عن بُعد حتى قبل تطبيق التصحيح.
5. مراقبة السجلات: فعّل تسجيلاً مُفصّلاً لطلبات HTTP الواردة وراقب الأنماط غير الطبيعية في عناوين URI، خاصة الطلبات التي تحتوي سلاسل طويلة أو مُرمَّزة بشكل غير اعتيادي تستهدف مسارات إعادة الكتابة.
6. اختبار اختراق مُستهدف: نفّذ اختبار اختراق يركّز على طبقة NGINX لتحديد أي نقاط إعداد مُعرَّضة، مع توثيق النتائج ضمن سجل إدارة الثغرات المطلوب في SAMA CSCC.

الخلاصة

ثغرة NGINX Rift تُذكّرنا بأن مكونات البنية التحتية الأساسية التي نثق بها قد تحمل عيوباً كامنة لسنوات طويلة. خادم ويب واحد غير مُحدَّث يكفي لتحويل طبقة الحماية الأمامية إلى نقطة اختراق مباشرة. المؤسسات المالية السعودية مطالبة بالتحرك السريع وتطبيق التصحيح قبل أن تبدأ موجة الاستغلال النشط.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC يشمل فحصاً شاملاً لمكونات البنية التحتية بما فيها خوادم NGINX.