F5は、特別に細工されたMP4ファイルを悪用することで、攻撃者が任意のコードを実行したりサービスを中断させたりする可能性のあるNGINXの重大な脆弱性を公開しました。
CVE-2026-32647として追跡されているこの欠陥は、MP4ストリーミングモジュールが有効な場合にNGINX PlusとNGINX Open Sourceの両方の導入に影響を与え、NGINXを通じたメディアストリーミングまたはビデオ配信に依存する組織に懸念を生じさせています。
CVE-2026-32647は、ソフトウェアが意図されたバッファ境界外のデータを読み取る場合に発生する、メモリハンドリング欠陥の一種である、境界外読み取り問題(CWE-125)に分類されています。
この脆弱性には、CVSS v4.0スコア8.5およびCVSS v3.1スコア7.8が割り当てられており、重大度が高いことを示しています。
この問題はngx_http_mp4_moduleに存在し、これはMP4ファイルを疑似ストリーミング用に処理することを担当しています。
悪意のある細工が施されたMP4ファイルがNGINXによって処理されると、ワーカープロセスでメモリ破損が発生する可能性があります。これにより、バッファのオーバーリードまたは上書き条件が発生し、サービスの不安定性につながります。
この欠陥を悪用するには、攻撃者は特別に細工されたMP4ファイルをアップロードまたは処理をトリガーできる必要があります。
これは通常、コンテンツアップロード機能またはメディア管理インターフェースを通じるなど、ローカルまたは認証されたアクセスが必要です。
処理されると、形式が正しくないファイルにより、NGINXワーカープロセスがクラッシュして再起動する可能性があります。この動作はトラフィックを一時的に中断し、サービス拒否(DoS)状態につながる可能性があります。
より高度なシナリオでは、攻撃者はメモリ破損を利用してホストシステム上でリモートコード実行(RCE)を実現できる可能性がありますが、これは特定の環境条件とエクスプロイトの洗練度に依存します。
例えば、ユーザーがビデオファイルを送信できるようにする侵害されたメディアアップロードポータルは、悪意のあるMP4をアップロードするために悪用される可能性があります。
NGINXがストリーミング用にファイルを処理する場合、エクスプロイトがトリガーされ、サービスのクラッシュが繰り返されるか、システムのより深い侵害が発生する可能性があります。
F5は、この脆弱性がNGINXの複数のバージョンに影響することを確認しました:
BIG-IP Next、BIG-IQ Centralized Management、F5OS、Distributed Cloud Servicesなどの他のF5製品は、この欠陥の影響を受けません。
重要なことに、MP4モジュールはNGINX Open Sourceでデフォルトで有効になっていません。管理者がmp4ディレクティブを明示的に構成したシステムのみが影響を受けます。
組織は、できるだけ早くパッチ適用されたバージョンにアップグレードすることを強くお勧めします。ベンダーが提供する更新を適用することが、リスクを排除する最も効果的な方法です。
即座のパッチ適用が実行可能でない場合、管理者はファイルアップロード機能を信頼できるユーザーに限定し、すべてのメディア入力を検証することにより、曝露を減らすことができます。別の効果的な回避策は、MP4モジュールを完全に無効にすることです。
これは、通常/etc/nginxにあるNGINX設定ファイル内のMP4ディレクティブをコメントアウトすることで実行できます。
この脆弱性は、Aisle ResearchのセキュリティリサーチャーであるXint CodeとPavel Kohoutによって責任を持って公開されました。
彼らの発見は、メディア解析コンポーネントに関連する継続的なリスクと、Webサーバ環境におけるセキュアな設定慣行の重要性を浮き彫りにしています。
翻訳元: https://cyberpress.org/f5-nginx-flaw/