Tấn công thực tế khai thác lỗ hổng nghiêm trọng NGINX đã bắt đầu xuất hiện

VulnCheck vừa đưa ra cảnh báo về các cuộc tấn công đầu tiên trong tự nhiên (in-the-wild) nhắm đến một lỗ hổng nghiêm trọng trong NGINX, vốn đã được vá vào tuần trước.

Lỗi này được theo dõi dưới mã số CVE-2026-42945 (điểm CVSS 9.2) và được đặt tên là Nginx Rift. Đây là một lỗi tràn bộ nhớ heap (heap buffer overflow) nằm trong thành phần ngx_http_rewrite_module. Đáng chú ý, lỗ hổng này đã ẩn mình trong mã nguồn của NGINX suốt 16 năm qua.

Nginx

Chỉ vài ngày sau khi F5 phát hành bản vá lỗi cho lỗi này, Depthfirst đã công bố chi tiết kỹ thuật và mã khái niệm (PoC) nhắm đến nó. Hiện tại, VulnCheck xác nhận rằng các tác nhân đe dọa đã bắt đầu tận dụng vấn đề này để tiến hành các cuộc tấn công thực tế.

"Chúng tôi đang ghi nhận sự khai thác tích cực CVE-2026-42945 trong F5 NGINX, một lỗi tràn bộ nhớ heap ảnh hưởng đến cả NGINX Plus và NGINX Open Source trên các hệ thống Canary của VulnCheck chỉ vài ngày sau khi CVE được công bố," nhà nghiên cứu Patrick Garrity từ VulnCheck cảnh báo.

Cơ chế hoạt động và tác động

Khiếm khuyết bảo mật này tồn tại do động cơ kịch bản (script engine) dựa vào quy trình hai bước để tính toán kích thước bộ đệm và sao chép dữ liệu vào đó, đồng thời trạng thái nội bộ của động cơ thay đổi giữa các bước này. Trong một số điều kiện nhất định, một cờ không được truyền dẫn sẽ dẫn đến việc dữ liệu do kẻ tấn công cung cấp được ghi vượt quá giới hạn bộ nhớ heap.

Security

Trên các cấu hình mặc định, việc khai thác thành công lỗ hổng này sẽ kích hoạt việc khởi động lại máy chủ, gây ra tình trạng từ chối dịch vụ (DoS). Tuy nhiên, nếu tính năng Ngẫu nhiên hóa Bố cục Không gian Địa chỉ (ASLR) bị vô hiệu hóa, kẻ tấn công có thể sử dụng lỗi này để thực thi mã từ xa (RCE).

Theo VulnCheck, lỗi này có thể được khai tác từ xa mà không cần xác thực thông qua các yêu cầu HTTP được tạo đặc biệt, nhưng nó yêu cầu một cấu hình ghi (rewrite) cụ thể trên máy chủ.

Mặc dù việc làm sập quy trình worker của NGINX khá dễ dàng với một yêu cầu độc hại duy nhất, việc đạt được RCE khó khăn hơn nhiều do hầu hết các hệ thống triển khai đều bật ASLR theo mặc định.

Cảnh báo từ chuyên gia

"Truy vấn Censys của chúng tôi phát hiện ra khoảng 5,7 triệu máy chủ NGINX tiếp xúc với internet đang chạy phiên bản có khả năng bị tổn thương, mặc dù số lượng thực sự có thể khai thác có thể chỉ là một tập hợp con nhỏ hơn nhiều trong số đó," VulnCheck cho biết.

SecurityWeek

Các nhà nghiên cứu bảo mật khẳng định lỗ hổng này cần được chú ý khẩn cấp. Các nỗ lực khai thác rộng rãi hơn đối với các hệ thống dễ bị tổn thương dự kiến sẽ diễn ra, đặc biệt là khi mã PoC công khai hiện có thể được sử dụng để vô hiệu hóa ASLR và đạt được RCE.

Quản trị viên hệ thống được khuyến nghị cập nhật lên phiên bản mới nhất của NGINX ngay lập tức để ngăn chặn các rủi ro tiềm ẩn.