セキュリティ
研究者は18年前の欠陥が開示されてからわずか数日で既にプローブおよび悪用されていると述べています
「NGINX Rift」と呼ばれる新たに開示されたNGINXバグへのエクスプロイト試行が既に猛攻撃を加えており、攻撃者がほとんどの管理者よりも速くパッチノートを読むことを再び証明しています。
VulnCheckの研究者は、NGINX Open SourceとNGINX Plusの両方に影響を与えるヒープバッファオーバーフロー欠陥であるCVE-2026-42945に関連したアクティブな悪用を目撃していると述べています。この欠陥は先週開示されましたが、18年間気付かれないまま存在していたようです。
VulnCheckのPatrick Garrity氏は述べており、同社が「CVEが公開されてからわずか数日後に」カナリアシステムで悪用活動を観察したと述べています。
「認証されていない攻撃者は、細工されたHTTPリクエストを送信することでNGINXワーカープロセスをクラッシュさせることができます」と彼は述べました。「もちろん、非常に可能性は低いですが、ASLRが無効化されたサーバーではコード実行が可能です。」
Depthfirstの研究者は先週バグを開示し、欠陥が2008年以来NGINXのリライトモジュールに存在していたと述べています。「NGINX Rift」というニックネームが付けられた脆弱性には、CVSSスコア9.2が割り当てられました。
2019年にNGINXを買収したF5によると、欠陥は特定のサーバー構成の下で特別に細工されたHTTPリクエストによってトリガーされることができます。ほとんどの場合、結果はワーカープロセスのクラッシュと強制再起動ですが、標準的なLinuxメモリ保護なしで実行されているシステムはコード実行に直面する可能性があります。
パッチが配布された同じ日にパブリックなポイントオブコンセプトエクスプロイトが現れたことで、研究者がほぼ即座にエクスプロイト試行を目撃し始めた理由が説明されます。
実際には、これを信頼できるリモートコード実行に変えるには、かなり具体的なセットアップが必要です。ターゲットサーバーは特定のリライト構成を実行している必要があり、攻撃者はそれを正しく悪用するためにそのセットアップについて十分な知識を持つ必要があり、ASLRもホストシステムで無効化されている必要があります。
セキュリティ研究者のKevin Beaumont氏は、バグは実際のものですが、最新のLinuxデフォルトは実世界でのRCE成功の可能性を大幅に低減すると述べています。
「NGINXのCVE-2026-42945について、最新(または古い)Linuxディストリビューションでも、ASLRなしでNGINXを実行していません」とBeaumont氏は述べています。「つまり、技術的には素晴らしく有効な脆弱性ですが、RCEの黙示録は来ません。」
それでも、VulnCheckはCensysスキャンが潜在的に脆弱なバージョンを実行している約570万のインターネットに公開されたNGINXサーバーを浮き彫りにしたと述べており、これはパッチチームが世界中で別の非常に長い週を突然背負うことになったことを意味します。®
