Lỗ hổng NGINX Rift ngay lập tức trở thành mục tiêu khai thác trên diện rộng

Các nỗ lực khai thác đang tấn công mạnh vào một lỗi NGINX mới được công bố có tên là "NGINX Rift", một lần nữa chứng minh rằng những kẻ tấn công đọc các ghi chú sửa lỗi (patch notes) nhanh hơn phần lớn các quản trị viên.

Các nhà nghiên cứu tại VulnCheck cho biết họ đang ghi nhận hoạt động khai thác tích cực liên quan đến CVE-2026-42945, một lỗi tràn bộ nhớ heap (heap buffer overflow) ảnh hưởng đến cả NGINX Open Source và NGINX Plus. Lỗi này được công bố vào tuần trước dù dường như đã tồn tại lặng lẽ suốt 18 năm qua.

Patrick Garrity từ VulnCheck cho biết công ty đã quan sát thấy hoạt động khai thác trên các hệ thống canary của họ "chỉ vài ngày sau khi CVE được công bố".

"Một kẻ tấn công chưa được xác thực có thể làm sập quy trình worker (worker process) của NGINX bằng cách gửi các yêu cầu HTTP được tạo đặc biệt," ông nói. "Trên các máy chủ có tính năng ASLR bị tắt – điều dĩ nhiên là rất khó xảy ra – việc thực thi mã là có thể."

Các nhà nghiên cứu tại Depthfirst đã công bố lỗi này vào tuần trước, cho biết lỗi đã nằm trong module rewrite của NGINX từ năm 2008. Lỗi hổng này, có biệt danh là "NGINX Rift", được gán điểm số CVSS là 9.2.

Theo F5, công ty mua lại NGINX vào năm 2019, lỗi này có thể được kích hoạt bởi các yêu cầu HTTP được tạo đặc biệt trong một số cấu hình máy chủ nhất định. Trong hầu hết các trường hợp, kết quả là quy trình worker bị sập và buộc phải khởi động lại, mặc dù các hệ thống chạy mà không có các biện pháp bảo vệ bộ nhớ chuẩn của Linux có thể đối mặt với nguy cơ thực thi mã.

Một mã khai thác khái niệm (proof-of-concept) công khai đã xuất hiện vào ngay ngày phát hành bản vá, điều này giúp giải thích lý do tại sao các nhà nghiên cứu bắt đầu thấy các nỗ lực khai thác gần như ngay lập tức.

Trên thực tế, để biến nó thành việc thực thi mã từ xa (RCE) đáng tin cậy đòi hỏi một thiết lập khá cụ thể. Máy chủ mục tiêu phải chạy một cấu hình rewrite cụ thể, kẻ tấn công cần đủ hiểu biết về thiết lập đó để khai thác đúng cách, và ASLR cũng phải bị tắt trên hệ thống máy chủ.

Nhà nghiên cứu bảo mật Kevin Beaumont lưu ý rằng mặc dù lỗi này là có thật, nhưng các mặc định của Linux hiện đại đã giảm thiểu đáng kể khả năng RCE thành công trong thực tế.

"Về CVE-2026-42945 trong nginx – không có bản phân phối Linux hiện đại (hay thậm chí là cũ) nào chạy nginx mà không có ASLR," Beaumont nói. "Vì vậy, một lỗi kỹ thuật ngầu lòi – nó hợp lệ – nhưng ngày tận thế RCE sẽ không đến."

Mặc dù vậy, VulnCheck cho biết các quét của Censys đã phát hiện ra khoảng 5,7 triệu máy chủ NGINX tiếp xúc với Internet đang chạy các phiên bản có khả năng dễ bị tổn thương. Điều này có nghĩa là các nhóm vá lỗi ở khắp mọi nơi vừa kế thừa một tuần làm việc cực kỳ bận rộn để đảm bảo an toàn cho hệ thống.