近日,威胁情报公司VulnCheck披露,NGINX的一个高危漏洞(CVE-2026-42945)已被野外攻击者武器化利用。这个堆缓冲区溢出漏洞潜伏在NGINX代码库中长达18年之久,CVSS 4.0评分高达9.2,影响NGINX 0.6.27至1.30.0的全版本范围。
一、事件概述
CVE-2026-42945隐藏在NGINX Plus和NGINX开源版本的ngx_http_rewrite_module模块中。据安全公司Depthfirst分析,该漏洞最早引入于2008年——也就是说,它在NGINX代码库里存在了整整18年,从未被发现。
VulnCheck的蜜罐网络已检测到针对该漏洞的真实攻击尝试。攻击者通过构造恶意HTTP请求触发漏洞,探测到目标后直接投递Webshell。
从漏洞公开披露到野外武器化,仅过去数天时间。
二、漏洞技术细节
1.影响范围
NGINX Plus及NGINX Open Source 0.6.27 ~ 1.30.0全版本。
2.攻击条件
- 无需认证,远程即可触发
- 通过构造恶意HTTP请求实现
- 需要特定NGINX配置可被利用
- 攻击者需知晓或探测到目标配置
3.潜在影响
- Worker进程崩溃:可直接导致服务拒绝(DoS)
- 远程代码执行:在ASLR被关闭的系统上可执行任意代码
安全研究员Kevin Beaumont指出,触发RCE需要同时满足两个条件:默认NGINX配置+系统关闭ASLR。AlmaLinux维护团队也表示,在默认配置下,将堆溢出转化为可靠的代码执行”并非易事”。
但维护团队同时强调:”并非易事”不等于”不可能”。仅DoS层面的利用已经足够构成紧急威胁。
三、安全观点
1.基础设施的”暗债”比想象中大
一个18年前的漏洞,影响全球数以百万计的NGINX实例。即使是经过最严格审查的开源基础设施组件,也可能存在长期未被发现的深层缺陷。”成熟稳定”不等于”没有问题”。
2.武器化窗口期正在急剧缩短
从漏洞披露到野外攻击,这次只用了几天。攻击者对高危漏洞的响应速度和防御者一样快——甚至更快。补丁发布后的”黄金修复窗口”不再是几周,而是几小时。
3.纵深防御不能依赖单一机制
ASLR确实提高了RCE的利用门槛,但DoS攻击在ASLR开启的情况下依然有效。把某个安全特性当成唯一防线,本身就是风险。安全设计应假设每一层都可能被绕过。
4.版本更新需要制度保障
很多组织的NGINX版本可能几年没动过。建立基础设施组件的版本追踪和定期更新机制,远比等到9.2分的漏洞出现在野外时紧急响应要有效得多。
四、修复建议
版本升级:升级NGINX最新版本
检查配置:审查ngx_http_rewrite_module相关配置
开启ASLR:确保系统地址空间布局随机化已启用
部署WAF:配置规则拦截已知exploit特征
临时缓解:对无法立即更新的系统,考虑临时禁用rewrite模块相关功能
发表评论
您还未登录,请先登录。
登录