Napadaci aktivno eksploatuju kritičnu NGINX ranjivost - RCE u divljini
Napadači aktivno eksploatuju kritičnu NGINX ranjivost CVE-2026-42945 tek dana nakon obelodanjivanja - milioni servera su pod rizikom.
Šta se desilo?
Tek nekoliko dana posle javnog obelodanjivanja, napadači su počeli da aktivno eksploatuju kritičnu ranjivost u NGINX-u. Stručnjaci iz kompanije VulnCheck potvrdili su da dolazi do napada u praksi na CVE-2026-42945, što je heap buffer overflow greška koja utiče na NGINX Open Source i NGINX Plus verzije. Ranjivost omogućava neulogovanim napadačima da pošalju posebno oblikovane HTTP zahteve i srušе NGINX radne procese.
Koga pogađa?
Organizacije koje koriste NGINX kao veb server, reverzni proksi ili load balancer su izložene riziku. Prema podacima kompanije Censys, oko 5,7 miliona internetu dostupnih NGINX servera može da pokreće vulnerabilne verzije. Iako eksploatacija zahteva specifičnu konfiguraciju (onemogućeno ASLR i aktivirane rewrite pravila), veliki broj potencijalno ugroženih sistema čini ovu grešku značajnom. Uglavnom su pogođene enterprise okoline, cloud infrastrukture i kritične aplikacije.
Kako se zaštititi?
- Odmah primeni zakrpe čim postanu dostupne od strane NGINX proizvođača
- Pregleda konfiguraciju NGINX-a i proverite da li koristi rewrite pravila koja mogu da izazovu problem
- Uverite se da je Address Space Layout Randomization (ASLR) omogućen na svim serverima
- Redovno praćenje i skeniranje za vulnerability-je na infrastrukturi
- Implementiraj dodatne sigurnosne mere kao što su firewali i IDS/IPS sistemi za detekciju sumnjivog saobraćaja
Tehnički detalji
CVE-2026-42945 je heap buffer overflow ranjivost koja može da se iskoristi za denial-of-service (DoS) napade na većini sistema. Međutim, u retkim slučajevima gde je ASLR onemogućen, postoji mogućnost za postizanje remote code execution (RCE). Eksploatacija je moguća samo kada je NGINX konfigurisan sa specifičnim rewrite pravilima, što znači da nije svaki izloženi NGINX server automatski vulnerabilan. Uprkos tim ograničenjima, broj od 5,7 miliona potencijalno ugroženih servera Internet-dostupnih servera ostaje ozbiljan, posebno jer su napadači već aktivno skeniraju tražeći neispravljivene sisteme.
Preporuka Sajber Radara
Organizacije moraju hitno da primene zakrpe i da revidiraju svoje NGINX konfiguracije. Pošto se ranjivosti eksploatuju samo dana nakon obelodanjivanja, čak i mali odgod u primeni ispravki može dovesti do kompromitovanja sistema. Proaktivno upravljanje ranjivostima postaje ključno za odbranu od brzih veteranskih napada.