Russian OSINT
@Russian_OSINT
Канал 
SecAtor — @true_secator пишет интересное:
Критическая уязвимость NGINX обзавелась общедоступным PoC и теперь активно эксплуатируется киберподпольем, о чем предупреждает VulnCheck, заметившая первые реальные атаки в выходные дни.
CVE-2026-42945 (CVSS 9.2) и получившая название Nginx Rift, описывается как переполнение буфера в куче в компоненте ngx_http_rewrite_module и скрывалась в коде NGINX в течение 16 лет.
Она приводит к DoS при использовании конфигураций по умолчанию и к RCE, если ASLR отключен. F5 устранила ее в версиях NGINX Plus 37.0.0, R36 P4 и R32 P6, а также в версиях NGINX с открытым исходным кодом 1.31.0 и 1.30.1.
Вскоре после того, как F5 выпустила патчи Depthfirst опубликовала технические подробности и демонстрационный PoC, нацеленный на эту уязвимость. Теперь, по данным VulnCheck, злоумышленники уже используют эту уязвимость в своих атаках.
Исследователи задетектили активную эксплуатацию CVE-2026-42945 в F5 NGINX на тестовых образцах VulnCheck всего через несколько дней после публикации информации об уязвимости.
Уязвимость обусловлена тем, что скриптовый движок использует двухэтапный процесс для вычисления размера буфера и копирования в него данных, а также из-за изменения внутреннего состояния движка между этими этапами. В определенных условиях нераспространенный флаг приводит к записи предоставленных злоумышленником данных за пределы кучи.
В стандартных конфигурациях успешная эксплуатация CVE приведет к перезапуску сервера, вызывая DoS. Если рандомизация расположения адресного пространства (ASLR) отключена, уязвимость может привести к RCE.
Как отмечает VulnCheck, уязвимость можно использовать удалённо, без аутентификации, с помощью специально сформированных HTTP-запросов, но для этого требуется определённая конфигурация перезаписи.
Хотя вызвать сбой в рабочем процессе NGINX довольно просто с помощью одного специально сформированного запроса, добиться удаленного выполнения кода сложнее, поскольку в большинстве развертываний ASLR включен по умолчанию.
При этом Censys показывает примерно 5,7 млн серверов NGINX, подключенных к интернету и работающих под управлением потенциально уязвимой версии, однако реально уязвимая группа, вероятно, все же значительно меньше, как полагают исследователи.
Тем не менее, исследователи полагают, что уязвимость требует срочного внимания и следует готовиться к более масштабным воздействиям, особенно учитывая, что публичный PoC может быть использован для отключения ASLR и достижения RCE.
SecAtor — @true_secator пишет интересное:Критическая уязвимость NGINX обзавелась общедоступным PoC и теперь активно эксплуатируется киберподпольем, о чем предупреждает VulnCheck, заметившая первые реальные атаки в выходные дни.
CVE-2026-42945 (CVSS 9.2) и получившая название Nginx Rift, описывается как переполнение буфера в куче в компоненте ngx_http_rewrite_module и скрывалась в коде NGINX в течение 16 лет.
Она приводит к DoS при использовании конфигураций по умолчанию и к RCE, если ASLR отключен. F5 устранила ее в версиях NGINX Plus 37.0.0, R36 P4 и R32 P6, а также в версиях NGINX с открытым исходным кодом 1.31.0 и 1.30.1.
Вскоре после того, как F5 выпустила патчи Depthfirst опубликовала технические подробности и демонстрационный PoC, нацеленный на эту уязвимость. Теперь, по данным VulnCheck, злоумышленники уже используют эту уязвимость в своих атаках.
Исследователи задетектили активную эксплуатацию CVE-2026-42945 в F5 NGINX на тестовых образцах VulnCheck всего через несколько дней после публикации информации об уязвимости.
Уязвимость обусловлена тем, что скриптовый движок использует двухэтапный процесс для вычисления размера буфера и копирования в него данных, а также из-за изменения внутреннего состояния движка между этими этапами. В определенных условиях нераспространенный флаг приводит к записи предоставленных злоумышленником данных за пределы кучи.
В стандартных конфигурациях успешная эксплуатация CVE приведет к перезапуску сервера, вызывая DoS. Если рандомизация расположения адресного пространства (ASLR) отключена, уязвимость может привести к RCE.
Как отмечает VulnCheck, уязвимость можно использовать удалённо, без аутентификации, с помощью специально сформированных HTTP-запросов, но для этого требуется определённая конфигурация перезаписи.
Хотя вызвать сбой в рабочем процессе NGINX довольно просто с помощью одного специально сформированного запроса, добиться удаленного выполнения кода сложнее, поскольку в большинстве развертываний ASLR включен по умолчанию.
При этом Censys показывает примерно 5,7 млн серверов NGINX, подключенных к интернету и работающих под управлением потенциально уязвимой версии, однако реально уязвимая группа, вероятно, все же значительно меньше, как полагают исследователи.
Тем не менее, исследователи полагают, что уязвимость требует срочного внимания и следует готовиться к более масштабным воздействиям, особенно учитывая, что публичный PoC может быть использован для отключения ASLR и достижения RCE.
57 6.2K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram