«18 мне уже»: давний критический баг угрожает публичным веб-сервисам

«Уязвимость CVE-2026-42945 находится в том самом слое, который у многих компаний первым принимает HTTP-запрос снаружи: reverse proxy, балансировщик, ingress в Kubernetes, фронт для внутренних сервисов — всё это может содержать уязвимый NGINX. Для эксплуатации есть условия, нужен конкретный паттерн rewrite-конфигурации: неименованные PCRE-захваты вроде $1, $2, знак вопроса в строке замены и следующая директива rewrite, if или set. При отключённом ASLR появляется риск RCE, но даже с включённой рандомизацией у атаки остаётся неприятный эффект — падение worker-процессов и деградация доступности для публичного NGINX, который держит входной трафик к нескольким сервисам, а это уже серьёзный ущерб», — пояснил эксперт. 

Отметим, что проблема затрагивает все версии NGINX от 0.6.27 до 1.30.0 и существовала в коде около 18 лет.

По словам эксперта, компаниям рекомендуется предпринять следующие шаги:

— найти все экземпляры NGINX, проверить версии и конфиги rewrite, обновиться до исправленных релизов, а если патч сразу невозможен — временно заменить неназванные захваты (например $1, $2) на именованные;
— отдельно стоит проверить ASLR, потому что при отключённой рандомизации появляется риск RCE;
— если используется WAF, имеет смысл добавить правила на подозрительные URI и нестандартные последовательности запросов, которые попадают в уязвимые rewrite-маршруты;
— и последняя рекомендация — использовать услуги центра мониторинга, например GSOC компании «Газинформсервис». SOC поможет настроить мониторинг, проверить периметр, проверить ретроспективу по логам и сопроводить митигацию до закрытия уязвимости.