F5 تسد ثغرتين حرجتين بـ NGINX: خطر تنفيذ التعليمات البرمجية عن بُعد

مقدمة تحليلية

أصدرت شركة F5 تحديثات أمنية عاجلة لمعالجة ثغرتين حرجتين في NGINX Open Source، يمكن استغلالهما لتنفيذ تعليمات برمجية عن بُعد (Remote Code Execution - RCE) على الأنظمة المتأثرة. تحمل كلتا الثغرتين تصنيف خطورة مرتفع جداً، حيث يبلغ مؤشر CVSS v4 لكل منهما 9.2، مما يؤكد مدى خطورتهما وضرورة التعامل معهما فوراً. تمثل هذه الثغرات تهديداً مباشراً للمؤسسات التي تعتمد على NGINX كخادم ويب أو وكيل عكسي، مما قد يعرض بياناتها وأنظمتها للاختراق من قبل مهاجمين غير مصادق عليهم عن بُعد. تأتي هذه التحديثات في أعقاب سلسلة من الثغرات الأمنية الحرجة التي اكتشفت في منتجات F5 وNGINX، مما يسلط الضوء على الأهمية القصوى لمراجعة البنية التحتية الأمنية وتطبيق التحديثات بانتظام. تعتبر قدرة المهاجمين على تنفيذ تعليمات برمجية عن بُعد بمثابة السيطرة الكاملة على النظام، وهو ما يمكن أن يؤدي إلى سرقة البيانات، تعطيل الخدمات، أو حتى نشر برامج الفدية الخبيثة. لذا، فإن فهم طبيعة هذه الثغرات وآليات استغلالها أمر حيوي لضمان حماية الأنظمة الحساسة.

التحليل التقني

تتعلق الثغرتان المكتشفتان بنوعين مختلفين من نقاط الضعف التي تستهدف مكونات رئيسية في NGINX Open Source: CVE-2026-42530 وCVE-2026-42055.

• CVE-2026-42530 (CVSS v4: 9.2): ثغرة Use-after-free في ngx_http_v3_module
  تكمن هذه الثغرة في الوحدة النمطية ngx_http_v3_module، وتحديداً عند تكوين NGINX Open Source لاستخدام وحدة HTTP/3 QUIC. يمكن لمهاجم بعيد وغير مصادق عليه إطلاق هذه الثغرة من خلال إعادة فتح تدفق QPACK encoder باستخدام جلسة HTTP/3 مصممة خصيصاً. يؤدي هذا إلى حالة 'use-after-free'، حيث يحاول البرنامج الوصول إلى ذاكرة تم تحريرها بالفعل، مما قد يسمح بتنفيذ تعليمات برمجية عشوائية. يصبح الاستغلال ممكناً بشكل خاص على الأنظمة التي تم تعطيل ميزة Address Space Layout Randomization (ASLR) عليها، أو إذا تمكن المهاجم من تجاوز ASLR.
• CVE-2026-42055 (CVSS v4: 9.2): ثغرة Heap-based buffer overflow في ngx_http_proxy_v2_module وngx_http_grpc_module
  تؤثر هذه الثغرة على الوحدات النمطية ngx_http_proxy_v2_module وngx_http_grpc_module. يمكن لمهاجم بعيد وغير مصادق عليه استغلالها عندما يكون `proxy_http_version` مضبوطاً على 2 أو تُستخدم توجيهات `grpc_pass` لوكالة حركة مرور HTTP/2، وعندما يكون التوجيه `ignore_invalid_headers` مضبوطاً على `off`، وحجم التوجيه `large_client_header_buffers` أكبر من 2 ميغابايت. تسمح ثغرة تجاوز سعة المخزن المؤقت (buffer overflow) في الذاكرة المؤقتة للمهاجم بالكتابة فوق مناطق الذاكرة المجاورة، مما قد يؤدي إلى تنفيذ تعليمات برمجية عن بُعد، خاصة إذا كان ASLR معطلاً أو تم تجاوزه.

تم إصلاح هذه الثغرات في الإصدارات التالية:

• لـ CVE-2026-42530:
  • NGINX Open Source: من 1.31.0 إلى 1.31.1 (تم الإصلاح في 1.31.2)
  • NGINX Gateway Fabric: من 2.0.0 إلى 2.6.3 (تم الإصلاح في 2.6.4)
  • NGINX Ingress Controller: من 5.0.0 إلى 5.5.0، ومن 4.0.0 إلى 4.0.1، ومن 3.5.0 إلى 3.7.2
  • NGINX Instance Manager: من 2.17.0 إلى 2.22.0
• لـ CVE-2026-42055:
  • NGINX Plus: من 37.0.0 إلى 37.0.1 (تم الإصلاح في 37.0.2.1)، ومن R33 إلى R36 (تم الإصلاح في R36 P6)
  • NGINX Open Source: 1.31.1 (تم الإصلاح في 1.31.2)، ومن 1.30.0 إلى 1.30.2 (تم الإصلاح في 1.30.3)
  • NGINX App Protect WAF: من 5.2.0 إلى 5.8.0، ومن 4.10.0 إلى 4.16.0
  • NGINX Gateway Fabric: من 2.0.0 إلى 2.6.3 (تم الإصلاح في 2.6.4)، ومن 1.3.0 إلى 1.6.2
  • NGINX Ingress Controller: من 5.0.0 إلى 5.5.0، ومن 4.0.0 إلى 4.0.1، ومن 3.5.0 إلى 3.7.2
  • F5 WAF for NGINX: من 5.9.0 إلى 5.13.1
  • NGINX Instance Manager: من 2.17.0 إلى 2.22.0

بالإضافة إلى التحديثات، قدمت F5 تدابير تخفيف مؤقتة:

• لـ CVE-2026-42530: تعطيل HTTP/3.
• لـ CVE-2026-42055: إزالة التوجيه `ignore_invalid_headers off` من التكوين، أو تقليل حجم التوجيه `large_client_header_buffers` إلى أقل من 2 ميغابايت.

السياق وتأثير السوق

NGINX هو أحد أكثر خوادم الويب والوكلاء العكسيين شيوعاً في العالم، ويشغل جزءاً كبيراً من البنية التحتية للإنترنت. هذا الانتشار الواسع يجعل أي ثغرة حرجة فيه ذات تأثير محتمل هائل. على الرغم من أن F5 لم تذكر استغلال هذه الثغرات في البرية حتى الآن، إلا أن تاريخ ثغرات F5 وNGINX يشير إلى أن الجهات الخبيثة غالباً ما تستغل هذه العيوب بسرعة بعد الكشف عنها. على سبيل المثال، في الشهر الماضي فقط، تم استغلال عيب أمني حرج آخر في NGINX Plus وNGINX Open Source (CVE-2026-42945)، المعروف أيضاً باسم NGINX Rift، بشكل نشط في غضون أيام من الكشف العام عنه. هذا النمط يؤكد الحاجة الملحة للمؤسسات لتطبيق التحديثات فوراً وعدم التأخر. يمكن أن تؤثر عمليات الاستغلال الناجحة بشكل كبير على سمعة الشركات، وتسبب خسائر مالية فادحة، وتعرض بيانات العملاء للخطر، مما يتطلب استجابة أمنية سريعة ومنسقة. إن اعتماد الشركات على NGINX في واجهاتها الأمامية، وأنظمة API Gateway، وموازنة التحميل، يجعل هذه الثغرات نقاط ضعف خطيرة للغاية. يمكن أن يتيح تنفيذ التعليمات البرمجية عن بُعد للمهاجمين تجاوز ضوابط الوصول والتحكم في الخوادم المستهدفة، مما يفتح الباب أمام هجمات متقدمة قد يصعب اكتشافها واحتواؤها.

رؤية Glitch4Techs

من منظور Glitch4Techs، فإن اكتشاف هذه الثغرات الحرجة في NGINX Open Source يسلط الضوء مجدداً على التحديات المستمرة في أمن البرمجيات مفتوحة المصدر، حتى في المشاريع بالغة الأهمية مثل NGINX. على الرغم من أن F5 قد أصدرت تصحيحات، فإن السرعة التي يتم بها استغلال الثغرات المماثلة في الماضي تثير قلقاً بشأن الفجوة الزمنية بين الكشف والتصحيح والتطبيق. نرى أن الخطر الأكبر يكمن في الأنظمة التي لا يتم تحديثها بانتظام أو التي تعمل بتكوينات ضعيفة (مثل تعطيل ASLR أو استخدام `ignore_invalid_headers off` مع `large_client_header_buffers` كبيرة). هذه الثغرات لا تتطلب مصادقة، مما يعني أن أي مهاجم يمكنه الوصول إلى خادم NGINX يمكنه محاولة استغلالها مباشرة. هذا يرفع من مستوى التهديد إلى مستويات حرجة. توصي Glitch4Techs جميع مسؤولي الأنظمة والمهندسين الأمنيين بإعطاء الأولوية القصوى لتطبيق التحديثات الأخيرة الصادرة عن F5 على جميع نشرات NGINX المتأثرة. بالإضافة إلى ذلك، يجب مراجعة تكوينات NGINX للتأكد من تطبيق تدابير التخفيف المذكورة. التهاون في هذا الجانب قد يؤدي إلى عواقب وخيمة، خاصة وأن الثغرات التي تسمح بـ RCE تُعد جوائز ثمينة للمهاجمين. نتوقع أن تشهد محاولات استغلال لهذه الثغرات ارتفاعاً قريباً بمجرد أن يقوم الباحثون الأمنيون والجهات الخبيثة بتحليل التصحيحات وتطوير استغلالات عملية.