新たに公開されたNGINXの脆弱性は既に積極的に悪用されており、世界中のサイバーセキュリティコミュニティで深刻な懸念が生じています。
CVE-2026-42945として追跡されているこの欠陥は、NGINX Open SourceとNGINX Plusの両方に影響し、特定の条件下で攻撃者がサーバーをクラッシュさせたりリモートコードを実行したりする可能性があります。
VulnCheckのセキュリティ研究者Patrick Garrityは、脆弱性の公開後わずか数日以内に悪用の試みが観察されたことを明かしました。
VulnCheckの初期アクセスチームによると、攻撃者はNGINXワーカープロセスでヒープバッファオーバーフローをトリガーするために特別に作成されたHTTPリクエストを送信しています。
このタイプのメモリ破損はサービスを不安定にする可能性があり、稀な場合には遠隔コード実行(RCE)を可能にすることができます。
NGINX RCE脆弱性
この脆弱性は認証を必要としないため、公開環境では特に危険です。「認証されていない攻撃者はNGINXワーカープロセスをクラッシュさせることができます」とVulnCheckはそのリリース更新で述べています。
完全なリモートコード実行はアドレス空間レイアウトランダム化(ASLR)が無効化されているシステムなどの特定の条件下でのみ可能ですが、現代のインフラストラクチャでNGINXが広く使用されていることを考えると、リスクは依然として重大です。
ただし、すべてのデプロイメントが同様に脆弱というわけではありません。悪用は対象サーバで特定の書き直し設定が有効になっていることに依存しています。これは真に悪用可能なシステムの数を制限しますが、大規模でそれらのシステムを特定することは依然として課題です。
これらの制約にもかかわらず、露出フットプリントは膨大です。Censysデータの支援を受けたVulnCheckの分析では、約570万の対インターネットNGINXサーバーが影響を受ける可能性のあるバージョンを実行していることが特定されました。
正確な悪用基準を満たすのがわずかなパーセンテージであっても、危険にさらされているシステムの数はまだかなりの数になる可能性があります。
セキュリティ専門家は、攻撃者が新たに公開された脆弱性、特にNGINXのような広く展開されているインフラストラクチャに影響するものを急速に武器化することが多いと警告しています。初期段階での悪用活動は、脅威行為者が誤設定またはパッチされていないサーバーを積極的にスキャンしていることを示唆しています。
NGINXを使用している組織は、特に脆弱なコードパスをトリガーする可能性のある再書き込みルールを含めて、設定を直ちに確認することを強くお勧めします。
利用可能なパッチまたは更新の適用は高い優先度として扱われるべきです。さらに、ASLRなどの最新のセキュリティ保護を有効にし、異常なHTTPリクエストパターンを監視することはリスクの軽減に役立つことができます。
このインシデントはサイバーセキュリティにおける繰り返しの問題を浮き彫りにしています。それが影響するソフトウェアがNGINXのように普遍的であるとき、たとえ狭い範囲で悪用可能な脆弱性でさえ広範な脅威をもたらす可能性があります。
攻撃者が発見と悪用の自動化を続けるにつれて、公開と積極的な攻撃の間のウィンドウは引き続き縮小しています。
積極的な悪用が既に進行中なので、防御側が反応する時間はほとんどありません。迅速なパッチ適用、設定監査、継続的な監視は潜在的な侵害を防ぐために引き続き重要です。
翻訳元: https://gbhackers.com/critical-nginx-vulnerability/
