新しく発見されたNGINXのゼロデイ脆弱性「nginx-poolslip」は、数百万のサーバーをリモートコード実行(RCE)攻撃の危険にさらす可能性があるため、世界中のサイバーセキュリティコミュニティで深刻な懸念を引き起こしています。
この脆弱性はNGINXバージョン1.31.0に影響を与えます。これは世界中のウェブサイトの推定30~40%を支えている広く使用されているウェブサーバーソフトウェアの最新の安定版です。この欠陥はNebSecチームのセキュリティ研究者Vegaによって発見され、2026年5月21日に公開されました。
NGINXの重大なRCEリスク
nginx-poolslip脆弱性はNGINXの内部メモリプール管理メカニズムに存在しています。
CSNによると、攻撃者はこの欠陥を悪用して認証なしにリモートコード実行を達成でき、システム全体の侵害につながる可能性があります。
この脆弱性が特に危険な理由は、メモリ悪用攻撃を防ぐために設計されたキーとなるOS保護機能であるアドレス空間レイアウトランダム化(ASLR)をバイパスする能力です。ASLRを回避することで、攻撃者は脆弱なシステムで確実に悪意のあるペイロードを実行できます。
この問題は、最近パッチが適用されたngx_http_rewrite_moduleのヒープバッファオーバーフロー脆弱性であるCVE-2026-42945の直後に発生しています。18年以上前から存在していたこの欠陥は、約570万のNGINXサーバーをサービス拒否および可能なRCE攻撃にさらしていました。
F5がバージョン1.31.0と1.30.1で以前の脆弱性に対応したにもかかわらず、NebSecの研究者は、修正が根本的な攻撃面を排除しなかったことを確認しました。新しく発見されたnginx-poolslipは以前の軽減策を効果的にバイパスし、完全に更新されたシステムでも危険にさらします。
執筆時点では、nginx-poolslipに対して公式のCVE識別子が割り当てられておらず、F5もNGINXプロジェクトもパッチをリリースしていません。NebSecは責任ある情報開示プロセスに従っており、パッチが利用可能になった後にのみ完全な技術的詳細をリリースすると述べています。
これは特に、自分たちが以前の脆弱性から保護されていると信じてシステムをアップグレードしたばかりの組織を含む、組織を重大な立場に置いています。
軽減措置
公式の修正がリリースされるまで、セキュリティチームは直ちに以下の予防措置を講じることをお勧めします:
- NebSecおよびF5のセキュリティアドバイザリーを監視して、更新とパッチリリースの情報を得る
- 攻撃面を減らすためにNGINX管理インターフェースの露出を制限する
- Web Application Firewall(WAF)ルールをデプロイして悪意のあるトラフィックをフィルタリングする
- ASLRが完全に有効になっていることを確認する(randomize_va_spaceを2に設定)
- 特に名前のないPCRE キャプチャグループを使用する、rewrite、if、およびsetディレクティブを含む設定を監査する
- 重要な環境に対して別のアーキテクチャまたはメモリセーフなプロキシを検討する
NGINXがウェブサーバー、リバースプロキシ、ロードバランサー、およびAPIゲートウェイに広く展開されていることを考えると、nginx-poolslipの潜在的な影響は重大です。組織は緊急パッチワークフローを準備し、公式の更新に注意を払うことを強くお勧めします。
サイバーセキュリティコミュニティはこの進展を密接に監視しており、さらなる技術的詳細と軽減戦略が浮かび上がっています。
翻訳元: https://gbhackers.com/new-nginx-0-day-rce-nginx-poolslip/
