کمیته رکن چهارم – تنها چند روز پس از افشای عمومی آسیبپذیری بحرانی CVE-2026-42945 در NGINX، پژوهشگران امنیتی از آغاز سوءاستفاده فعال از این نقص در حملات واقعی خبر دادهاند. این آسیبپذیری امکان از کار انداختن سرویس و در برخی شرایط اجرای کد از راه دور را فراهم میکند.
به گزارش کمیته رکن چهارم، شرکت VulnCheck اعلام کرده مهاجمان اکنون در حال بهرهبرداری عملی از آسیبپذیری CVE-2026-42945 هستند؛ نقصی با امتیاز ۹٫۲ از ۱۰ که در ماژول ngx_http_rewrite_module نرمافزار NGINX Plus و NGINX Open Source شناسایی شده است.
این آسیبپذیری یک Heap Buffer Overflow محسوب میشود و نسخههای ۰٫۶٫۲۷ تا ۱٫۳۰٫۰ را تحت تأثیر قرار میدهد. شرکت depthfirst که این نقص را کشف کرده اعلام کرده این مشکل از سال ۲۰۰۸ در کد NGINX وجود داشته و تاکنون شناسایی نشده بود.
در صورت سوءاستفاده موفق، مهاجم بدون نیاز به احراز هویت میتواند پردازشهای Worker را Crash کرده یا در شرایط خاص به اجرای کد از راه دور دست پیدا کند. با این حال، اجرای کد تنها زمانی امکانپذیر است که قابلیت امنیتی ASLR روی سیستم غیرفعال باشد.
کوین بومونت، پژوهشگر امنیتی، توضیح داده برای بهرهبرداری کامل، NGINX باید دارای پیکربندی خاصی باشد و مهاجم نیز از آن مطلع باشد یا بتواند آن را کشف کند. توسعهدهندگان AlmaLinux نیز اعلام کردهاند تبدیل این Heap Overflow به Exploit پایدار در تنظیمات پیشفرض ساده نیست، اما قابلیت ایجاد اختلال و حملات منع سرویس همچنان تهدیدی جدی محسوب میشود.
شرکت VulnCheck اعلام کرده حملات واقعی علیه Honeypotهای این شرکت مشاهده شده است، هرچند هنوز جزئیات دقیقی درباره اهداف نهایی مهاجمان منتشر نشده است. کارشناسان امنیتی از مدیران سرورها خواستهاند فوراً وصلههای امنیتی منتشرشده توسط F5 را نصب کنند.
حملات همزمان علیه openDCIM
همزمان با حملات NGINX، VulnCheck از آغاز سوءاستفاده فعال از دو آسیبپذیری بحرانی دیگر در نرمافزار متنباز openDCIM نیز خبر داده است؛ پلتفرمی که برای مدیریت زیرساخت مراکز داده استفاده میشود.
آسیبپذیری نخست با شناسه CVE-2026-28515 و امتیاز ۹٫۳ مربوط به نبود کنترل دسترسی مناسب است که به کاربران اجازه میدهد بدون مجوز به تنظیمات LDAP دسترسی پیدا کنند. در برخی استقرارهای Docker حتی امکان دسترسی بدون اعتبارنامه نیز گزارش شده است.
نقص دوم با شناسه CVE-2026-28517 و امتیاز ۹٫۳ یک Command Injection در فایل report_network_map.php است که از طریق پارامتر dot امکان اجرای دستورات دلخواه روی سرور را فراهم میکند.
پژوهشگران اعلام کردهاند این دو نقص همراه با آسیبپذیری دیگری موسوم به CVE-2026-28516 قابل زنجیرهسازی هستند و مهاجم میتواند تنها با پنج درخواست HTTP به اجرای کد از راه دور و ایجاد Reverse Shell دست پیدا کند.
استفاده از ابزارهای مبتنی بر هوش مصنوعی
VulnCheck همچنین اعلام کرده حملات مشاهدهشده از یک IP مستقر در چین منشأ گرفتهاند و مهاجمان احتمالاً از نسخه سفارشیشده ابزاری مبتنی بر هوش مصنوعی با نام Vulnhuntr برای شناسایی خودکار سیستمهای آسیبپذیر استفاده میکنند.
پس از شناسایی اهداف، مهاجمان اقدام به نصب PHP Web Shell روی سرورهای قربانی میکنند تا دسترسی پایدار به سیستم حفظ شود.
پیشزمینه
در سالهای اخیر، فاصله زمانی میان افشای عمومی آسیبپذیریها و آغاز سوءاستفاده عملی از آنها بهشدت کاهش یافته است. بسیاری از گروههای تهدید اکنون از ابزارهای خودکار و مبتنی بر هوش مصنوعی برای اسکن اینترنت و شناسایی سریع سیستمهای آسیبپذیر استفاده میکنند.
NGINX یکی از پرکاربردترین نرمافزارهای وبسرور و Reverse Proxy در جهان محسوب میشود و میلیونها وبسایت و سرویس اینترنتی به آن وابسته هستند؛ موضوعی که آسیبپذیریهای این پلتفرم را به هدفی جذاب برای مهاجمان تبدیل میکند.
جمعبندی
آغاز سوءاستفاده فعال از CVE-2026-42945 تنها چند روز پس از افشای عمومی، بار دیگر نشان میدهد سازمانها فرصت بسیار محدودی برای وصلهکردن سامانههای حیاتی خود دارند. کارشناسان هشدار میدهند ترکیب آسیبپذیریهای بحرانی با ابزارهای شناسایی مبتنی بر هوش مصنوعی میتواند سرعت و مقیاس حملات آینده را بهطور قابلتوجهی افزایش دهد.
منبع:The Hacker News
