آشوب در زیرساخت وب جهان؛ نقص امنیتی ۱۸ ساله NGINX فعال شد!
یک کابوس امنیتی برای ادمینهای سرور و میزبانیهای وب به واقعیت پیوست. شرکت امنیتیVulnCheck در گزارشی اضطراری فاش کرد که هکرها بهرهبرداری فعال از آسیبپذیری فوقبحرانی جدید در وبسرورهای NGINX را آغاز کردهاند. این نقص امنیتی که با شناسه CVE-2026-42945 و امتیاز وحشتناک۹.۲ شناخته میشود، یک حفره قدیمی است که طبق بررسیها از سال ۲۰۰۸ (حدود ۱۸ سال پیش) در کدهای NGINX جا خوش کرده بود و اکنون به ابزاری برای از کار انداختن سرورها و نفوذ به آنها تبدیل شده است.
۱. تحلیل حمله: از کراش دادن سرور تا اجرای کد از راه دور (RCE)
این آسیبپذیری از نوع سرریز بافر (Heap Buffer Overflow) در ماژول محبوب ngx_http_rewrite_module است و تقریباً تمامی نسخههای NGINX (از نسخه 0.6.27 تا آخرین نسخه یعنی 1.30.0) را تحت تأثیر قرار میدهد.
- مکانیسم نفوذ: یک مهاجم بدون نیاز به احراز هویت (Unauthenticated)، میتواند با ارسال درخواستهای HTTP دستکاریشده و خاص، فرآیندهای کاری (Worker Processes) وبسرور را به طور کامل کراش داده و سرور را با حملات محرومسازی از سرویس (DoS) فلج کند.
- شرط اعدام سرورRCE: کارشناسان امنیتی از جمله کوین بومونت اشاره کردهاند که برای تبدیل این باگ به یک ابزار اجرای کد از راه دور(RCE)، دو شرط لازم است: اول، وجود یک کانفیگ خاص و ضعیف در NGINX و دوم، غیرفعال بودن مکانیزم امنیتی ASLR (تصادفیسازی چیدمان فضای آدرس) روی سیستمعامل سرور. با این حال، حامیان توزیع آلمالینوکس (AlmaLinux) هشدار دادهاند که اگرچه اجرای کد روی سیستمهای استاندارد آسان نیست، اما غیرممکن هم نیست و خطر کراش سرور به تنهایی آنقدر بالاست که باید این وضعیت را اورژانسی تلقی کرد.
۲. سایه هوش مصنوعی روی حملات؛ نفوذ همزمان به پلتفرم openDCIM
گزارش VulnCheck ابعاد نگرانکننده دیگری را نیز فاش کرده است. هکرها همزمان در حال بهرهبرداری از دو باگ بحرانی با امتیاز ۹.۳ در برنامه مدیریت زیرساخت دیتاسنتر openDCIM شامل باگهای CVE-2026-28515 و CVE-2026-28517 هستند.
نکته تکاندهنده برای تحریریه ۲۴ نیوز، استفاده هکرها از ابزارهای هوش مصنوعی است. سیتلین کاندون، معاون پژوهشهای امنیتی VulnCheck اعلام کرد:
بررسیهای ما نشان میدهد هکرها (با مبدأ یک آیپي کشور چین) در حال استفاده از یک نسخه سفارشیسازی شده از ابزار هوش مصنوعی شکار آسیبپذیری به نام Vulnhuntr هستند. این هوش مصنوعی به طور خودکار سرورهای آسیبپذیر را در اینترنت اسکن کرده و پس از یافتن روزنه، یک درِ پشتی PHP Web Shell را روی دیتاسنترها رها میکند.
اقدامات امنیتی فوری پیشنهادی ۲۴ نیوز:
با توجه به اینکه حملات هکرها علیه وبسرورها در شبکه هانیپات (Honeypot) ردیابی شده است، وبمسترها و ادمینهای شبکه در ایران باید اقدامات زیر را فوراً انجام دهند:
- آپدیت اضطراریNGINX: فوراً آخرین اصلاحیههای منتشر شده توسط شرکت F5 را دریافت و روی سرورهای خود (چه نسخه پلاس و چه نسخه اپنسورس) نصب کنید.
- بررسی فعال بودنASLR: مطمئن شوید قابلیت امنیتی ASLR روی سیستمعامل لینوکس سرور شما فعال است تا احتمال اجرای کد از راه دور به حداقل برسد.
- بازرسی کدهایopenDCIM: اگر در دیتاسنتر خود از openDCIM استفاده میکنید، اتصالات و کدهای آن را برای عدم وجود وبشلهای PHP بازرسی کنید.
برگردان و تنظیم: تحریریه ۲۴ نیوز (بهراد یوسفی)
