기술 설명
2008년에 도입되어 0.6.27~1.30.0(NGINX Open Source) 및 R32~R36(NGINX Plus)을 포함한 버전에 영향을 미치는 NGINX의 ngx_http_rewrite_module의 중대한 힙 버퍼 오버플로우 취약점입니다. 이 취약점은 rewrite 지시문 뒤에 명명되지 않은 PCRE 캡처와 물음표가 포함된 대체 문자열이 있는 rewrite, if 또는 set 지시문이 따를 때 발생합니다. 미인증 원격 공격자는 특수한 HTTP 요청을 전송하여 힙 손상을 유발할 수 있으며, 이로 인해 서비스 거부 또는 ASLR이 비활성화된 시스템에서 원격 코드 실행을 달성할 수 있습니다.
공격 경로
미인증 원격 공격자는 물음표가 있는 rewrite 규칙과 캡처된 값을 참조하는 set 지시문을 함께 사용하는 취약한 NGINX 구성을 목표로 하는 특수한 HTTP 요청을 전송합니다. 물음표가 is_args 플래그를 영구적으로 설정할 때 두 패스 길이 계산 및 복사 프로세스가 발생하며, 복사 패스는 NGX_ESCAPE_ARGS를 사용하여 ngx_escape_uri를 호출하여 각 이스케이프 가능한 문자를 확장하고 할당된 버퍼를 오버플로우합니다.
영향받는 시스템
NGINX Open Source 0.6.27-1.30.0, NGINX Plus R32-R36, NGINX Instance Manager 2.16.0-2.21.1, F5 WAF for NGINX 5.9.0-5.12.1, NGINX App Protect WAF, NGINX App Protect DoS, NGINX Gateway Fabric, NGINX Ingress Controller. F5 권고에 따르면 전 세계 모든 웹사이트의 약 1/3에 영향을 미칩니다.
완화 방안
NGINX Open Source 1.31.0 또는 1.30.1로 업그레이드하거나 NGINX Plus R37 / R36 P4 / R32 P6으로 업그레이드합니다. 임시 완화: 물음표가 있는 rewrite 규칙과 캡처된 값을 참조하는 set 지시문을 함께 사용하는 구성을 검토합니다. F5는 상세한 권고 K000161019를 게시했습니다. 18년 동안의 취약점 윈도우와 공개된 개념 증명 코드를 고려하면 조직은 인터넷을 통해 노출된 NGINX 배포에 대한 패치를 즉시 우선시해야 합니다.