ثغرة NGINX Rift: خلل عمره 18 عاماً يهدد 5.7 مليون خادم بتنفيذ أكواد خبيثة

أبرز النقاط

• ثغرة NGINX Rift ظلت كامنة في الكود منذ عام 2008 دون اكتشاف رغم عمليات التدقيق المتكررة
• 5.7 مليون خادم معرّض للخطر مع تأكيد محاولات استغلال فعلية خلال 72 ساعة من الإفصاح
• نظام ذكاء اصطناعي مستقل اكتشف الثغرة في 6 ساعات فقط بعد أن أخفق المدققون البشريون لعقدين

أصدرت شركة F5 تحديثات أمنية طارئة خارج الجدول المعتاد لمعالجة ثغرة NGINX Rift وثغرات حرجة أخرى في خادم الويب NGINX، وهي ثغرات تتيح للمهاجمين تنفيذ أكواد خبيثة عن بُعد على ملايين الأنظمة حول العالم. ما يجعل هذا الحدث استثنائياً ليس خطورته فحسب، بل حقيقة أن الخلل الرئيسي ظل مختبئاً في الكود المصدري لمدة 18 عاماً كاملة — منذ عام 2008 — قبل أن يكتشفه نظام ذكاء اصطناعي مستقل في غضون ست ساعات فقط.

ما هي ثغرات NGINX الجديدة وكيف تعمل؟

تتمحور المشكلة حول ثغرتين حرجتين رئيسيتين: الأولى (CVE-2026-42530) موجودة في وحدة ngx_http_v3_module المسؤولة عن بروتوكول HTTP/3، والثانية (CVE-2026-42055) في وحدتي ngx_http_proxy_v2_module وngx_http_grpc_module. يستطيع المهاجمون غير المصادَق عليهم استغلال هاتين الثغرتين لشن هجمات حجب الخدمة (DoS) أو تنفيذ أكواد خبيثة على أنظمة NGINX ذات الإعدادات غير الافتراضية.

تقنياً، يؤدي الاستغلال الناجح إلى حالة use-after-free أو فيضان في الذاكرة المكدسة (heap-based buffer overflow) داخل عملية NGINX العاملة، مما يتسبب في إعادة تشغيلها. لكن الأخطر من ذلك أن المهاجمين يستطيعون تنفيذ أكواد عشوائية على الأنظمة التي عطّلت خاصية التوزيع العشوائي لمساحة العناوين (ASLR) أو حين يتمكنون من تجاوزها.

لماذا يُعدّ اكتشاف هذه الثغرة نقطة تحوّل تاريخية؟

الجانب الأكثر إثارة للقلق — والاهتمام في آن — هو أن الثغرة الأساسية في وحدة ngx_http_rewrite_module نجت من ما يقارب عقدين من عمليات التدقيق اليدوي للكود واختبارات الـ fuzzing المتكررة. أشارت الدكتورة Elena Vance، كبيرة باحثي الأمن في شركة DepthFirst، إلى أن اكتشاف هذا الخلل بواسطة نظام مستقل يمثّل تحولاً جذرياً في منهجية الكشف عن ثغرات البرمجيات الأساسية مستقبلاً.

شركة DepthFirst، المتخصصة في أمن الذكاء الاصطناعي، هي من اكتشفت الثغرة باستخدام وكيل أمني مستقل. هذا الإنجاز يطرح تساؤلات جوهرية حول مستقبل تدقيق الأكواد: إذا كانت أنظمة الذكاء الاصطناعي قادرة على رصد ما عجز عنه البشر لعقود، فهل نحن أمام عصر جديد من الأمن السيبراني — أم أمام سباق تسلح جديد حيث ستستخدم الجهات الخبيثة نفس الأدوات؟

ما المنتجات المتأثرة وكيف تحمي خوادمك؟

أصدرت F5 تصحيحات أمنية لعدة منتجات تشمل NGINX Plus وNGINX Open Source وNGINX Gateway Fabric وNGINX Instance Manager. لكن للمسؤولين الذين لا يستطيعون تثبيت التحديثات فوراً، هناك إجراءات تخفيفية مؤقتة:

• لمعالجة CVE-2026-42530: تعطيل HTTP/3 بإزالة quic من جميع توجيهات listen
• لمعالجة CVE-2026-42055: إزالة توجيه ignore_invalid_headers off من الإعدادات، وتقليل حجم large_client_header_buffers إلى أقل من 2 ميغابايت

أشار Patrick Garrity، مدير الهندسة في VulnCheck، إلى أن هذه اللحظة تمثّل حالة طوارئ حقيقية لمديري الأنظمة، محذراً من أن أي بوابة دخول (ingress) غير مُرقّعة أو غير معزولة بشكل صحيح تعني كشف الشبكة الداخلية بالكامل.

ما حجم التأثير على البنية التحتية العالمية؟

تشير التقديرات إلى أن 34% من مواقع الويب العالمية التي تعمل على NGINX كانت معرّضة للخطر. ومع تأكيد شركات الأمن لمحاولات استغلال فعلية خلال 72 ساعة فقط من الإفصاح، تحوّل الأمر إلى دورة ترقيع طارئة على مستوى الصناعة بأكملها.

على صعيد منطقة الخليج العربي، حيث تتسارع مشاريع التحول الرقمي ضمن رؤية 2030 وما يماثلها، يُبرز هذا الحادث أهمية مراجعة البنى التحتية للخوادم التي تعتمدها المؤسسات الحكومية والخاصة. كثير من هذه الجهات تستخدم NGINX كبوابة أمامية لخدماتها الرقمية، مما يجعل الترقيع الفوري أولوية قصوى.

سجل F5 الأمني: لماذا يجب أخذ هذه الثغرات بجدية مطلقة؟

رغم أن F5 لم تُصنّف أياً من هذه الثغرات على أنها مُستغلة فعلياً في هجمات حتى لحظة الإعلان، إلا أن السجل التاريخي يُنذر بالحذر. ثغرات F5 كانت هدفاً متكرراً لمجموعات القرصنة الإجرامية والمدعومة من دول، واستُخدمت لاختراق شبكات الشركات ونشر برمجيات مسح البيانات والاستيلاء على الأجهزة وسرقة وثائق حساسة.

في أكتوبر الماضي، كشفت F5 أن مهاجمين مدعومين من دولة اخترقوا أنظمتها في أغسطس 2025 وسرقوا ثغرات BIG-IP غير مُفصح عنها إضافة إلى أكواد مصدرية. كما صنّفت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) سبع ثغرات في منتجات F5 كثغرات مُستغلة فعلياً، أربع منها استُخدمت في هجمات فدية.

شركة F5 هي من شركات Fortune 500 وتقدم خدماتها لأكثر من 23,000 عميل حول العالم، بما في ذلك 48 من أكبر 50 شركة في قائمة Fortune و80% من شركات Fortune Global 500.

كيف تفاعل المجتمع التقني مع الأزمة؟

تحوّل منتدى r/sysadmin على Reddit إلى مركز طوارئ حيث تبادل المسؤولون حلولاً مؤقتة تعتمد على التعبيرات النمطية (regex) لمن لا يستطيعون إعادة تشغيل مجموعات NGINX فوراً. أما على Hacker News، فركّز النقاش على الفشل المعماري في محرك إعادة الكتابة (rewrite engine)، مع تعبير كثيرين عن مزيج من الإعجاب والقلق الوجودي حيال قدرة وكلاء الأمن الذكيين على اكتشاف ثغرات أساسية أخفق الخبراء البشريون في رصدها لعقود.

الأسئلة الشائعة

هل خوادم NGINX الخاصة بي معرّضة للخطر حتى لو كانت خلف جدار حماية؟

إذا كان الخادم يستقبل طلبات HTTP/3 أو يستخدم الإعدادات غير الافتراضية المذكورة، فنعم. الثغرة قابلة للاستغلال عن بُعد دون مصادقة، والجدار الناري وحده لا يكفي إن كانت المنافذ مفتوحة للخدمة.

هل يمكنني الانتظار حتى نافذة الصيانة المجدولة للترقيع؟

لا يُنصح بذلك. محاولات الاستغلال بدأت خلال 72 ساعة من الإفصاح. إن تعذّر الترقيع الفوري، طبّق الإجراءات التخفيفية المؤقتة كتعطيل HTTP/3 وضبط إعدادات الترويسات.

ما علاقة الذكاء الاصطناعي باكتشاف هذه الثغرة؟

شركة DepthFirst استخدمت وكيلاً أمنياً مستقلاً يعمل بالذكاء الاصطناعي اكتشف الثغرة في 6 ساعات بعد أن أخفق المدققون البشريون لـ 18 عاماً، مما يشير إلى تحوّل جذري في منهجيات اكتشاف الثغرات.

هل تأثرت إصدارات NGINX المجانية مفتوحة المصدر؟

نعم، التصحيحات تشمل NGINX Open Source إضافة إلى NGINX Plus وNGINX Gateway Fabric وNGINX Instance Manager. جميع الإصدارات المتأثرة يجب ترقيتها.

كيف أتأكد أن الترقيع تم بنجاح؟

تحقق من رقم إصدار NGINX بعد التحديث، وراجع سجلات الأخطاء للتأكد من عدم وجود تحذيرات متعلقة بالوحدات المتأثرة. يُستحسن أيضاً إجراء فحص أمني باستخدام أدوات مسح الثغرات.