){kind=link}
Uma vulnerabilidade crítica no servidor web NGINX está sendo explorada ativamente por atacantes desde o fim de semana, apenas dias após a publicação do patch pela F5. A falha CVE-2026-42945 recebeu pontuação de gravidade de 9.2 e ficou escondida no código por 16 anos. A empresa de segurança VulnCheck identificou os primeiros ataques reais contra a vulnerabilidade batizada de Nginx Rift.
A exploração começou logo após a empresa Depthfirst publicar detalhes técnicos e código de prova de conceito (PoC) para a falha. Patrick Garrity, pesquisador da VulnCheck, alertou que os ataques foram detectados nos sistemas de monitoramento da empresa. O problema afeta tanto o NGINX Plus quanto o NGINX Open Source.
smart_display
Nossos vídeos em destaque
Falha permite sobrescrever memória do servidor
A vulnerabilidade é basicamente um “heap buffer overflow” no componente “ngx_http_rewrite_module”. Isso significa que um atacante pode enviar dados que ultrapassam os limites da memória alocada pelo servidor.
O problema existe porque o script engine do NGINX usa um processo de dois passos para calcular o tamanho do buffer e copiar os dados. O estado interno do sistema muda entre esses passos. Em certas condições, uma flag não propagada permite que dados controlados pelo atacante sejam escritos além do limite da heap.
Ataque não exige autenticação mas precisa de configuração específica
A exploração pode ser feita remotamente por meio de requisições HTTP manipuladas. O atacante não precisa de credenciais de acesso. Mas a falha só pode ser explorada se o servidor tiver uma configuração de rewrite específica ativa.
Em deployments padrão, a exploração bem-sucedida faz o servidor reiniciar. Isso causa uma condição de denial-of-service (DoS). Se o Address Space Layout Randomization (ASLR) estiver desabilitado, a vulnerabilidade pode levar à execução remota de código (RCE).
)
Derrubar o processo worker do NGINX é relativamente simples com uma única requisição manipulada. Conseguir RCE é mais difícil. Isso porque a maioria dos deployments tem ASLR habilitado por padrão.
Cerca de 5,7 milhões de servidores podem estar vulneráveis
A VulnCheck usou uma query no Censys que identificou aproximadamente 5,7 milhões de servidores NGINX expostos na internet rodando versões potencialmente vulneráveis. A população realmente explorável deve ser um subconjunto muito menor desse total. Isso porque nem todos os servidores usam a configuração de rewrite necessária para a exploração.
O PoC público pode ser usado para desabilitar o ASLR e alcançar RCE. Pesquisadores de segurança alertam que a vulnerabilidade demanda atenção urgente. Tentativas mais amplas de exploração contra deployments vulneráveis são esperadas.
)
F5 liberou patches na semana passada
A F5 lançou correções para a falha na semana passada junto com patches para mais de 50 outras vulnerabilidades. Administradores de sistemas que usam NGINX devem aplicar as atualizações imediatamente. A janela entre a divulgação pública e os primeiros ataques reais foi de apenas alguns dias.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.