<\/span><\/h2>\nCVE ID<\/strong>: CVE-2026-42945
Paveiktas komponentas<\/strong>: ngx_http_perra\u0161ymo_modulis
Pa\u017eeid\u017eiamumo tipas<\/strong>: kr\u016bvos buferio perpildymas
CVSS balas<\/strong>: Kritinis
Paveiktos versijos<\/strong>: Nginx 0.6.27\u20131.30.0
Fiksuotos versijos<\/strong>: Nginx 1.31.0, 1.30.1
Poveikis<\/strong>: neautentifikuotas nuotolinis kodo vykdymas (RCE)<\/p>\n<\/span>Pagrindin\u0117 prie\u017eastis: klasikin\u0117 dviej\u0173 pra\u0117jim\u0173 variklio klaida<\/span><\/h2>\n\u201eNginx\u201c scenarij\u0173 variklis naudoja dviej\u0173 eig\u0173 proces\u0105, kad tvarkyt\u0173 kintam\u0173j\u0173 pakeitim\u0105:<\/p>\n
\n- Pirmasis prava\u017eiavimas (ilgio skai\u010diavimas)<\/strong>: Apskai\u010diuokite reikiam\u0105 buferio dyd\u012f<\/li>\n
- Antrasis leidimas (kopija)<\/strong>: nukopijuokite duomenis \u012f skirt\u0105 bufer\u012f<\/li>\n<\/ol>\n
Pa\u017eeid\u017eiamumas kyla d\u0117l nenuoseklumo, kaip is_args<\/code> v\u0117liava tvarkoma tarp \u0161i\u0173 dviej\u0173 pra\u0117jim\u0173:<\/p>\nKlaida:<\/strong><\/p>\n\n- The
is_args<\/code> v\u0117liav\u0117l\u0117 nustatoma pagrindiniame variklyje, kai perra\u0161ymo pakeitime yra a ?<\/code> charakteris<\/li>\n- Ta\u010diau ilgio skai\u010diavimo leidimas veikia su naujai nuliniu antriniu varikliu, kur
is_args = 0<\/code><\/li>\n- D\u0117l to ilgio skai\u010diavimas gr\u0105\u017eina neapdorot\u0105 fiksavimo ilg\u012f<\/li>\n
- Kopijavimo leidimas mato
is_args = 1<\/code> ir skambina ngx_escape_uri<\/code> su NGX_ESCAPE_ARGS<\/code><\/li>\n- \u0160is pa\u0161alinimas i\u0161ple\u010dia kiekvien\u0105 i\u0161einam\u0105 bait\u0105 iki 3 bait\u0173 (pvz., tarpas tampa
%20<\/code>)<\/li>\n- Kopijavimo operacija perpildo per ma\u017eo dyd\u017eio kr\u016bvos bufer\u012f u\u017epuoliko valdomais URI duomenimis<\/li>\n<\/ul>\n
<\/span>Eksploatavimo grandin\u0117<\/span><\/h2>\nVie\u0161asis koncepcijos \u012frodymas (PoC) parodo vis\u0105 naudojimo grandin\u0119:<\/p>\n
<\/span>1 veiksmas: suaktyvinkite buferio perpildym\u0105<\/span><\/h3>\nPa\u017eeid\u017eiamum\u0105 sukelia konkretus Nginx konfig\u016bracijos modelis:<\/p>\n
location ~ ^\/api\/(.*)$ {\n rewrite ^\/api\/(.*)$ \/backend?path=$1 break;\n set $captured $1;\n}\n<\/code><\/pre>\nKai siun\u010diama u\u017eklausa su ilgu URI su specialiaisiais simboliais, perra\u0161ymo operacijos metu \u012fvyksta buferio perpildymas.<\/p>\n
<\/span>2 veiksmas: pritraukite Feng Shui u\u017e korupcij\u0105<\/span><\/h3>\nI\u0161naudojimas naudoja \u201ekry\u017emini\u0173 u\u017eklaus\u0173 kr\u016bvos feng shui\u201c, kad b\u016bt\u0173 nustatyta a ngx_pool_t<\/code> strukt\u016bra \u0161alia perpildyto buferio. Tai apima:<\/p>\n\n- Keli\u0173 POST u\u017eklaus\u0173 siuntimas su kruop\u0161\u010diai sukurtais korpusais<\/li>\n
- Kr\u016bvos apipur\u0161kimas duomenimis, kurie bus paskirstyti \u0161alia pa\u017eeid\u017eiamo buferio<\/li>\n
- Sugadindamas
cleanup<\/code> \u017eymekl\u012f gretimame baseino strukt\u016broje<\/li>\n<\/ol>\n<\/span>3 veiksmas: kodo vykdymas per baseino valym\u0105<\/span><\/h3>\nKai baseinas sunaikinamas, sugadintas valymo \u017eymeklis nukreipiamas \u012f klastot\u0119 ngx_pool_cleanup_s<\/code> strukt\u016bra, kuri skambina system()<\/code> su u\u017epuoliko valdomais argumentais.<\/p>\n<\/span>Paveiktos Nginx versijos<\/span><\/h2>\nNginx atviras \u0161altinis:<\/strong><\/p>\n\n- Paveikta: nuo 0.6.27 iki 1.30.0<\/li>\n
- I\u0161taisyta: 1.31.0, 1.30.1<\/li>\n<\/ul>\n
Nginx Plus:<\/strong><\/p>\n\n- Paveikta: R32\u2013R36<\/li>\n
- Pataisyta: R36 P4, R35 P2, R32 P6<\/li>\n<\/ul>\n
<\/span>I\u0161naudojimo prielaidos<\/span><\/h2>\nNors pa\u017eeid\u017eiamumas yra rimtas, i\u0161naudojimui reikia tam tikr\u0173 s\u0105lyg\u0173:<\/p>\n
\n- Perra\u0161yti direktyv\u0105<\/strong>: B\u016btina naudoti
rewrite<\/code> su ne\u012fvardytais \u012fra\u0161ais (pvz., $1<\/code>, $2<\/code>) ir a ?<\/code> pakaitin\u0117je eilut\u0117je<\/li>\n- Nustatyti direktyv\u0105<\/strong>: Turi b\u016bti paskesnis
set<\/code> direktyv\u0105, kuri nurodo fiksavimo grup\u0119<\/li>\n- ASLR aplinkkelis<\/strong>: Vie\u0161asis PoC daro prielaid\u0105, kad ASLR yra i\u0161jungtas, nors visas \u012fra\u0161as rodo, kad ASLR galima apeiti<\/li>\n<\/ol>\n
<\/span>Da\u017eni pa\u017eeid\u017eiami modeliai<\/span><\/h3>\nNors konkretus modelis gali atrodyti ne\u012fprastas, kelios realaus pasaulio konfig\u016bracijos yra pa\u017eeid\u017eiamos:<\/p>\n
PHP integracija:<\/strong><\/p>\nfastcgi_split_path_info ^(.+?\\.php)(\/.*)$;\nset $path_info $fastcgi_path_info;\n<\/code><\/pre>\nURL perra\u0161ymas:<\/strong><\/p>\nrewrite ^\/old-path\/(.*)$ \/new-path?id=$1 break;\nset $request_id $1;\n<\/code><\/pre>\nAPI mar\u0161rutas:<\/strong><\/p>\nrewrite ^\/api\/v1\/(.*)$ \/backend?endpoint=$1 break;\nset $endpoint $1;\n<\/code><\/pre>\n<\/span>ASLR ir realaus pasaulio rizika<\/span><\/h2>\nVie\u0161asis PoC d\u0117l paprastumo i\u0161jungia ASLR, tod\u0117l kai kurie pa\u017eeid\u017eiamum\u0105 atmeta kaip ma\u017eos rizikos. Ta\u010diau \u0161is vertinimas yra pavojingai neteisingas:<\/p>\n
<\/span>Kod\u0117l ASLR ne visi\u0161kai apsaugo<\/span><\/h3>\n\n- \n
Nginx Forking modelis<\/strong>: Nginx naudoja pagrindin\u012f proces\u0105, kuris sujungia darbuotoj\u0173 procesus. Antriniai procesai paveldi pirminio atminties i\u0161d\u0117stym\u0105, o tai rei\u0161kia, kad kelios u\u017eklausos gali b\u016bti nukreiptos \u012f t\u0105 pa\u010di\u0105 adres\u0173 erdv\u0119 be pakartotinio atsitiktinio atrankos.<\/p>\n<\/li>\n- \n
Informacijos nutek\u0117jimas<\/strong>: pats pa\u017eeid\u017eiamumas gali nutek\u0117ti informacij\u0105 apie atminties i\u0161d\u0117stym\u0105 arba u\u017epuolikai gali susieti j\u012f su kitais pa\u017eeid\u017eiamumu, kad gaut\u0173 \u0161i\u0105 informacij\u0105.<\/p>\n<\/li>\n- \n
Brute Force galimyb\u0117<\/strong>: Su neribotais bandymais strigti prie\u0161 darbuotoj\u0173 procesus (kurie automati\u0161kai paleid\u017eiami i\u0161 naujo), u\u017epuolikai laikui b\u0117gant gali priverstinai sunaikinti ASLR entropij\u0105.<\/p>\n<\/li>\n- \n
Laiko atakos<\/strong>: Sud\u0117tingi u\u017epuolikai gali naudoti laiko nustatymo \u0161oninius kanalus, kad nustatyt\u0173 atminties i\u0161d\u0117stymo informacij\u0105.<\/p>\n<\/li>\n<\/ol>\n<\/span>Istorinis precedentas<\/span><\/h3>\nBROP (angl. Blind Return Oriented Programming) ataka parod\u0117, kad ASLR galima apeiti kruop\u0161\u010diai i\u0161naudojant \u0161akute pagr\u012fstus serverius. Nginx architekt\u016bra yra ypa\u010d pa\u017eeid\u017eiama \u0161i\u0173 metod\u0173.<\/p>\n
<\/span>\u0160velninimo strategijos<\/span><\/h2>\n<\/span>Neatid\u0117liotini veiksmai<\/span><\/h3>\n\n- \n
Atnaujinkite Nginx<\/strong>: Nedelsdami atnaujinkite \u012f 1.31.0 arba 1.30.1 versij\u0105<\/p>\n<\/li>\n- \n
Naudokite pavadintus fiksavimus<\/strong>: Pakeiskite ne\u012fvardytus fiksavimus pavadintais fiksacijomis:<\/p>\n# Vulnerable\nrewrite ^\/api\/(.*)$ \/backend?path=$1 break;\n\n# Safe\nrewrite ^\/api\/(?<path>.*)$ \/backend?path=$path break;\n<\/code><\/pre>\n<\/li>\n- \n
Pa\u0161alinkite pa\u017eeid\u017eiamas direktyvas<\/strong>: Jei \u012fmanoma, pa\u0161alinkite rewrite<\/code> ir set<\/code> direktyvas, atitinkan\u010dias pa\u017eeid\u017eiam\u0105 model\u012f<\/p>\n<\/li>\n<\/ol>\n<\/span>Laikini sprendimai<\/span><\/h3>\n\n- I\u0161jungti perra\u0161ymo modul\u012f<\/strong>: Jei nereikia, visi\u0161kai i\u0161junkite perra\u0161ymo modul\u012f<\/li>\n
- Naudokite alternatyvius metodus<\/strong>: perkelkite URL perra\u0161ymo logik\u0105 \u012f programos kod\u0105<\/li>\n
- \u012egyvendinti WAF taisykles<\/strong>: \u012ediekite \u017einiatinklio program\u0173 ugniasien\u0117s taisykles, kad aptiktum\u0117te i\u0161naudojimo bandymus<\/li>\n
- Steb\u0117ti \u017eurnalus<\/strong>: steb\u0117kite, ar prieigos \u017eurnaluose n\u0117ra ne\u012fprast\u0173 \u0161ablon\u0173, kurie gali rodyti i\u0161naudojimo bandymus<\/li>\n<\/ol>\n
<\/span>Atradimo metodas: AI padedamas pa\u017eeid\u017eiamumo aptikimas<\/span><\/h2>\n\u0160\u012f pa\u017eeid\u017eiamum\u0105 \u201eDepthFirst\u201c saugos analiz\u0117s sistema aptiko savaranki\u0161kai, vienu spustel\u0117jimu \u012fdiegus \u201eNginx\u201c \u0161altinio kod\u0105. \u0160is atradimo metodas kelia svarbi\u0173 klausim\u0173:<\/p>\n
<\/span>Poveikis saugumui<\/span><\/h3>\n\n- Automatinis aptikimas<\/strong>: AI varomi \u012frankiai gali nustatyti pa\u017eeid\u017eiamum\u0105, kurio \u017emon\u0117s praleido daugel\u012f met\u0173<\/li>\n
- Skal\u0117<\/strong>: \u0160ie \u012frankiai gali greitai analizuoti did\u017eiules kod\u0173 bazes<\/li>\n
- Nuoseklumas<\/strong>: Automatin\u0117 analiz\u0117 nepatiria nuovargio ar neapsi\u017ei\u016br\u0117jimo<\/li>\n
- Gr\u0117sm\u0117<\/strong>: Kenk\u0117ji\u0161ki veik\u0117jai gali naudoti pana\u0161ius \u012frankius, kad aptikt\u0173 pa\u017eeid\u017eiamum\u0105 prie\u0161 pardav\u0117jus<\/li>\n<\/ol>\n
<\/span>Dvia\u0161menis kardas<\/span><\/h3>\nNors automatizuotas pa\u017eeid\u017eiamumo aptikimas yra galingas, tai taip pat rei\u0161kia:<\/p>\n
\n- Pa\u017eeid\u017eiamumas bus rastas grei\u010diau<\/li>\n
- Langas tarp atradimo ir i\u0161naudojimo susiaur\u0117ja<\/li>\n
- Organizacijos turi grei\u010diau pataisyti<\/li>\n
- Nulin\u0117s dienos pa\u017eeid\u017eiamumas gali tapti da\u017enesnis<\/li>\n<\/ul>\n
<\/span>Poveikio vertinimas<\/span><\/h2>\n<\/span>Rinkos dalis<\/span><\/h3>\n\u201eNginx\u201c valdo ma\u017edaug 39\u201343 % vie\u0161\u0173j\u0173 interneto serveri\u0173 visame pasaulyje. \u0160is pa\u017eeid\u017eiamumas gali paveikti milijonus serveri\u0173.<\/p>\n
<\/span>Paveikti naudojimo atvejai