Исследователи из VulnCheck зафиксировали активную эксплуатацию CVE-2026-42945 — критической уязвимости в NGINX с оценкой 9.2 по шкале CVSS, которую на прошлой неделе обнаружил ИИ-агент стартапа Depthfirst. Баг просидел в коде 18 лет, а от раскрытия до первых атак прошло всего несколько дней. По данным Censys, в интернете работают около 5,7 млн серверов на потенциально уязвимых версиях NGINX.
Сама уязвимость — переполнение буфера в модуле ngx_http_rewrite_module, который отвечает за перезапись URL в конфигурации сервера. Специально сформированные HTTP-запросы позволяют крашить рабочий процесс NGINX без какой-либо аутентификации, а в теории — выполнять произвольный код. Баг затрагивает и NGINX Open Source, и NGINX Plus.
Патрик Гэрити из VulnCheck сообщил, что компания наблюдает атаки на своих ханипотах (серверах-приманках для хакеров). Скорость реакции атакующих объясняется просто: публичный PoC-эксплойт появился в тот же день, когда F5 выпустила патчи. Это классический сценарий — злоумышленники читают патчноуты быстрее, чем большинство администраторов успевает обновиться.
Впрочем, до полноценной катастрофы далеко. Исследователь Кевин Бомонт указал, что ни один современный Linux-дистрибутив не запускает NGINX без ASLR — механизма рандомизации адресного пространства, который делает удаленное выполнение кода практически невозможным. Для успешного RCE атакующему нужна редкая комбинация: специфическая конфигурация rewrite, знание этой конфигурации и отключенный ASLR на целевом сервере.
Тем не менее 5,7 млн потенциально уязвимых серверов — это 5,7 млн причин обновиться. Даже без удаленного выполнения кода краш рабочего процесса — это отказ в обслуживании, который могут использовать для давления на сервисы. F5 уже выпустила исправления для обеих веток — Open Source и Plus.
P.S. Поддержать меня можно подпиской на канал «сбежавшая нейросеть«, где я рассказываю про ИИ с творческой стороны.
ссылка на оригинал статьи https://habr.com/ru/articles/1036612/