Penjelasan teknis
Kerentanan heap buffer overflow kritis dalam ngx_http_rewrite_module NGINX, diperkenalkan pada 2008 dan mempengaruhi versi 0.6.27 hingga 1.30.0 (NGINX Open Source) dan R32 hingga R36 (NGINX Plus). Kerentanan terjadi ketika direktif rewrite diikuti oleh direktif rewrite, if, atau set dengan tangkapan PCRE tanpa nama dan string pengganti yang berisi tanda tanya. Penyerang jarak jauh tanpa autentikasi dapat mengirim permintaan HTTP yang dirancang untuk memicu kerusakan heap, menyebabkan denial of service atau berpotensi mencapai eksekusi kode jarak jauh pada sistem dengan ASLR dinonaktifkan.
Vektor serangan
Penyerang jarak jauh tanpa autentikasi mengirim permintaan HTTP khusus yang menargetkan konfigurasi NGINX yang rentan menggunakan aturan rewrite dengan tanda tanya bersama direktif set yang mereferensikan nilai yang ditangkap. Proses perhitungan panjang dua-pass dan penyalinan menyimpang ketika tanda tanya secara permanen menetapkan flag is_args, menyebabkan pass penyalinan memanggil ngx_escape_uri dengan NGX_ESCAPE_ARGS, memperluas setiap karakter yang dapat diberi escape dan meluap buffer yang dialokasikan.
Sistem yang terdampak
NGINX Open Source 0.6.27-1.30.0, NGINX Plus R32-R36, NGINX Instance Manager 2.16.0-2.21.1, F5 WAF untuk NGINX 5.9.0-5.12.1, NGINX App Protect WAF, NGINX App Protect DoS, NGINX Gateway Fabric, NGINX Ingress Controller. Mempengaruhi sekitar sepertiga dari semua situs web secara global, menurut pemberitahuan F5.
Mitigasi
Tingkatkan ke NGINX Open Source 1.31.0 atau 1.30.1, atau NGINX Plus R37 / R36 P4 / R32 P6. Mitigasi sementara: tinjau konfigurasi menggunakan aturan rewrite dengan tanda tanya bersama direktif set yang mereferensikan nilai yang ditangkap. F5 telah menerbitkan pemberitahuan terperinci K000161019. Organisasi harus memprioritaskan patching penerapan NGINX yang menghadap internet secara langsung mengingat jendela kerentanan 18 tahun dan kode proof-of-concept yang dipublikasikan.