技術的な説明
2008年に導入され、NGINX 0.6.27~1.30.0(NGINX Open Source)およびR32~R36(NGINX Plus)に影響する、NGINXのngx_http_rewrite_moduleの重大なヒープバッファオーバーフロー脆弱性。この脆弱性は、rewriteディレクティブの後に、名前のないPCREキャプチャと疑問符を含む置換文字列を持つrewrite、if、またはsetディレクティブが続く場合に発生します。認証なしのリモート攻撃者は、細工されたHTTPリクエストを送信してヒープ破損をトリガーでき、サービス拒否を引き起こしたり、ASLRが無効なシステムでリモートコード実行を達成する可能性があります。
攻撃経路
認証なしのリモート攻撃者は、キャプチャされた値を参照するsetディレクティブと並んで疑問符を使用するrewriteルールを使用した脆弱なNGINX構成をターゲットとする特別に細工されたHTTPリクエストを送信します。2段階の長さ計算とコピープロセスは、疑問符がis_argsフラグを永続的に設定する場合に分岐し、コピーパスがNGX_ESCAPE_ARGSを使用してngx_escape_uriを呼び出させ、各エスケープ可能な文字を拡張して割り当てられたバッファをオーバーフローさせます。
影響を受けるシステム
NGINX Open Source 0.6.27-1.30.0、NGINX Plus R32-R36、NGINX Instance Manager 2.16.0-2.21.1、F5 WAF for NGINX 5.9.0-5.12.1、NGINX App Protect WAF、NGINX App Protect DoS、NGINX Gateway Fabric、NGINX Ingress Controller。F5アドバイザリーによると、世界中のすべてのWebサイトの約3分の1に影響します。
緩和策
NGINX Open Source 1.31.0または1.30.1、またはNGINX Plus R37 / R36 P4 / R32 P6にアップグレードしてください。一時的な対策:疑問符を使用するrewriteルールと、キャプチャされた値を参照するsetディレクティブを使用する構成を確認してください。F5は詳細なアドバイザリーK000161019を公開しています。18年の脆弱性期間と公開されているProof-of-Conceptコードを考えると、組織はインターネットに公開されているNGINX展開へのパッチ適用を優先すべきです。