F5 NGINXの重大なヒープバッファオーバーフロー脆弱性(CVE-2026-42945)は、公開からわずか3日で実際の悪用に発展し、ほとんどの組織がパッチを適用する時間を確保する前に、脅威アクターはすでにインターネット公開サーバーを標的にしています。
「NGINX Rift」と呼ばれるCVE-2026-42945は2026年5月13日に公開され、CVSS v4スコアは9.2(重大)です。
この脆弱性はngx_http_rewrite_moduleに存在し、NGINX Open SourceおよびNGINX Plusバージョン0.6.27~1.30.0に影響します。これは過去18年間のほぼすべてのリリースにまたがる範囲です。
セキュリティ研究者パトリック・ガリティによると、この脆弱性は2008年にNGINXコードベースに静かに導入され、それ以来ずっと検出されずにいました。根本的な原因は、リライトエンジン内のエスケープロジックに矛盾があることです。
NGINXは一連の仮定の下で宛先バッファサイズを計算してから、別の仮定の下でデータをコピーします。これにより、攻撃者が制御するURIバイトがワーカープロセス内のヒープをオーバーフローする可能性があります。
公開された概念実証(PoC)エクスプロイトは、CVEが公開された同じ日(5月13日)にGitHubに登場しました。
5月16日までに、VulnCheckのCanary Intelligence ハニーポットネットワークが本番環境での積極的な悪用試行を検出し、VulnCheckは同じ日にKEW警告を発行しました。
Censysクエリは、脆弱性の可能性があるバージョンを実行しているインターネット公開NGINXサーバーが約570万台浮上しましたが、実際に悪用可能な数はかなり少ないサブセットと推定されています。
リモートコード実行(RCE)は可能ですが、アドレス空間レイアウトランダミゼーション(ASLR)が無効になっているシステムでのみ可能です。このような構成は一般的ではありませんが、レガシーシステムや設定ミスのあるデプロイメントでは聞かれないことではありません。
セキュリティ研究者がRCEの条件付き性質を確認しました:「RCEに到達するには、ボックス上でASLRが無効になっている必要があります」。
その結果、公開されているほとんどのサーバーに対するより現実的で即座の脅威は、ワーカープロセスクラッシュの繰り返しによって引き起こされた永続的なサービス妨害(DoS)ループです。
研究者は、PoC検証に必要なのは標準的なPythonソケットと1つの細工されたHTTP GETリクエスト(349バイトのパディングに続いて2,000文字のURIエスケープ可能文字を含むペイロード)であることを、NGINX 1.28.3を実行している完全にパッチされたUbuntuインスタンスに対して実証しました。
RCEの場合、攻撃者は複数リクエスト間のヒープフェンシューイを活用します。まず部分接続を開いてリクエストプールを割り当て、その後被害者接続を開いて、オーバーフロー経由でそのプールヘッダーを破損させます。
NGINXリライトルールを設定に含めて実行している組織は、積極的な悪用が進行中のため、これを緊急パッチとして扱うべきです。行動を起こすための窓口は急速に狭まっています。
翻訳元: https://cyberpress.org/exploit-nginx-rce-vulnerability/
