✔Зафиксированы первые случаи эксплуатации свежего бага в NGINX - «Новости»

20 мая 2026 0 Новости / Преимущества стилей / Заработок / Изображения / Интернет и связь / Вёрстка / Текст / Самоучитель CSS 0

Напомним, что проблема представляет собой переполнение буфера хипа в модуле ngx_http_rewrite_module и затрагивает как NGINX Open Source, так и NGINX Plus. При этом баг существовал в коде около 18 лет и получил 9,2 балла по шкале CVSS. Исследователи из компании DepthFirst AI, которые обнаружили проблему, писали, что ошибка скрывалась в rewrite-модуле с 2008 года.

Как сообщают специалисты VulnCheck, злоумышленники уже атакуют их ханипот-системы с помощью специально подготовленных HTTP-запросов. Эксперт компании Патрик Гаррити (Patrick Garrity) предупреждает:

«Неаутентифицированный атакующий может обрушить worker-процесс NGINX, отправив специально сформированный HTTP-запрос. Если на сервере отключен ASLR, возможно и удаленное выполнение кода».

Корень проблемы связан с внутренним скриптовым движком NGINX. Сервер сначала вычисляет размер буфера, а затем копирует в него данные, однако между этими этапами меняется внутреннее состояние движка. В результате специальный флаг не передается должным образом, и NGINX начинает записывать пользовательские данные за пределы выделенной области памяти.

В конфигурации по умолчанию эксплуатация проблемы обычно приводит лишь к сбою в работе worker-процесса и перезапуску сервера, то есть к DoS-атаке. Однако если в системе отключена защита ASLR (Address Space Layout Randomization), уязвимость потенциально позволяет добиться удаленного выполнения кода.

Практически сразу после выхода патчей исследователи опубликовали технический разбор проблемы и PoC-эксплоит. Именно этим, вероятно, и объясняется столь быстрая активность со стороны злоумышленников.

При этом многие специалисты подчеркивают, что реальная эксплуатация уязвимости не так проста, как может показаться. Все же для успешной реализации RCE требуется специфическая конфигурация rewrite-правил, понимание внутренней структуры сервера и отключенный ASLR.

К примеру, известный ИБ-исследователь Кевин Бомонт (Kevin Beaumont) отмечал, что современные Linux-дистрибутивы практически никогда не запускают NGINX без ASLR. Он писал:

«Да, это реальная и технически интересная уязвимость, но никакого “RCE-апокалипсиса” не произойдет».

Тем не менее, проблема остается весьма серьезной. По оценкам VulnCheck, в интернете доступны около 5,7 млн NGINX-серверов с потенциально уязвимыми версиями. Хотя доступных для реальной эксплуатации систем, вероятно, значительно меньше, исследователи ожидают дальнейшего роста числа атак, особенно с учетом доступности PoC-эксплоита.

Напомним, что разработчики F5 уже выпустили исправления в версиях NGINX Open Source 1.31.0 и 1.30.1, а также в NGINX Plus R36 P4 и R32 P6. Администраторам рекомендовали как можно скорее установить патчи и проверить конфигурации rewrite-модулей.

Критическая уязвимость CVE-2026-42945 в NGINX, получившая название NGINX Rift, уже используется в реальных атаках. По данным специалистов компании VulnCheck, попытки эксплуатации начались буквально через несколько дней после публикации CVE и выхода патчей. Напомним, что проблема представляет собой переполнение буфера хипа в модуле ngx_http_rewrite_module и затрагивает как NGINX Open Source, так и NGINX Plus. При этом баг существовал в коде около 18 лет и получил 9,2 балла по шкале CVSS. Исследователи из компании DepthFirst AI, которые обнаружили проблему, писали, что ошибка скрывалась в rewrite-модуле с 2008 года. Как сообщают специалисты VulnCheck, злоумышленники уже атакуют их ханипот-системы с помощью специально подготовленных HTTP-запросов. Эксперт компании Патрик Гаррити (Patrick Garrity) предупреждает: «Неаутентифицированный атакующий может обрушить worker-процесс NGINX, отправив специально сформированный HTTP-запрос. Если на сервере отключен ASLR, возможно и удаленное выполнение кода». Корень проблемы связан с внутренним скриптовым движком NGINX. Сервер сначала вычисляет размер буфера, а затем копирует в него данные, однако между этими этапами меняется внутреннее состояние движка. В результате специальный флаг не передается должным образом, и NGINX начинает записывать пользовательские данные за пределы выделенной области памяти. В конфигурации по умолчанию эксплуатация проблемы обычно приводит лишь к сбою в работе worker-процесса и перезапуску сервера, то есть к DoS-атаке. Однако если в системе отключена защита ASLR (Address Space Layout Randomization), уязвимость потенциально позволяет добиться удаленного выполнения кода. Практически сразу после выхода патчей исследователи опубликовали технический разбор проблемы и PoC-эксплоит. Именно этим, вероятно, и объясняется столь быстрая активность со стороны злоумышленников. При этом многие специалисты подчеркивают, что реальная эксплуатация уязвимости не так проста, как может показаться. Все же для успешной реализации RCE требуется специфическая конфигурация rewrite-правил, понимание внутренней структуры сервера и отключенный ASLR. К примеру, известный ИБ-исследователь Кевин Бомонт (Kevin Beaumont) отмечал, что современные Linux-дистрибутивы практически никогда не запускают NGINX без ASLR. Он писал: «Да, это реальная и технически интересная уязвимость, но никакого “RCE-апокалипсиса” не произойдет». Тем не менее, проблема остается весьма серьезной. По оценкам VulnCheck, в интернете доступны около 5,7 млн NGINX-серверов с потенциально уязвимыми версиями. Хотя доступных для реальной эксплуатации систем, вероятно, значительно меньше, исследователи ожидают дальнейшего роста числа атак, особенно с учетом доступности PoC-эксплоита. Напомним, что разработчики F5 уже выпустили исправления в версиях NGINX Open Source 1.31.0 и 1.30.1, а также в NGINX Plus R36 P4 и R32 P6. Администраторам рекомендовали как можно скорее установить патчи и проверить конфигурации rewrite-модулей.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.