Penjelasan teknis
Kerentanan heap buffer overflow kritis dalam ngx_http_rewrite_module NGINX, diperkenalkan pada 2008 dan mempengaruhi versi 0.6.27 hingga 1.30.0 (NGINX Open Source) dan R32 hingga R36 (NGINX Plus). Kerentanan terjadi ketika direktif rewrite diikuti oleh direktif rewrite, if, atau set dengan penangkapan PCRE tanpa nama dan string pengganti yang berisi tanda tanya. Penyerang jarak jauh tanpa autentikasi dapat mengirimkan permintaan HTTP yang dirancang khusus untuk memicu kerusakan heap, menyebabkan penolakan layanan atau berpotensi mencapai eksekusi kode jarak jauh pada sistem dengan ASLR dinonaktifkan.
Vektor serangan
Penyerang jarak jauh tanpa autentikasi mengirimkan permintaan HTTP yang dirancang khusus menargetkan konfigurasi NGINX yang rentan menggunakan aturan rewrite dengan tanda tanya bersama direktif set yang mereferensikan nilai yang ditangkap. Perhitungan panjang dua lintasan dan proses penyalinan menyimpang ketika tanda tanya secara permanen menetapkan bendera is_args, menyebabkan lintasan penyalinan memanggil ngx_escape_uri dengan NGX_ESCAPE_ARGS, memperluas setiap karakter yang dapat di-escape dan meluapkan buffer yang dialokasikan.
Sistem yang terdampak
NGINX Open Source 0.6.27-1.30.0, NGINX Plus R32-R36, NGINX Instance Manager 2.16.0-2.21.1, F5 WAF for NGINX 5.9.0-5.12.1, NGINX App Protect WAF, NGINX App Protect DoS, NGINX Gateway Fabric, NGINX Ingress Controller. Mempengaruhi sekitar sepertiga dari semua situs web global, menurut pemberitahuan F5.
Mitigasi
Tingkatkan ke NGINX Open Source 1.31.0 atau 1.30.1, atau NGINX Plus R37 / R36 P4 / R32 P6. Mitigasi sementara: tinjau konfigurasi menggunakan aturan rewrite dengan tanda tanya bersama direktif set yang mereferensikan nilai yang ditangkap. F5 telah menerbitkan pemberitahuan terperinci K000161019. Organisasi harus memprioritaskan patching penyebaran NGINX yang menghadap internet segera mengingat jendela kerentanan 18 tahun dan kode proof-of-concept yang telah dipublikasikan.