Новая уязвимость нулевого дня в веб-сервере NGINX, получившая обозначение "nginx-poolslip", вызвала серьёзную обеспокоенность в мировом сообществе специалистов по кибербезопасности. Проблема затрагивает актуальную стабильную версию NGINX 1.31.0 - продукт, который, по разным оценкам, обслуживает от 30 до 40 процентов всех веб-сайтов в мире. Злоумышленники могут использовать эту брешь для удаленного выполнения кода без предварительной аутентификации, что потенциально ведёт к полному захвату системы.
Уязвимость nginx-poolslip
Уязвимость обнаружил исследователь под псевдонимом Vega из команды NebSec. Публичное раскрытие информации состоялось 21 мая 2026 года. Как пояснили эксперты, корень проблемы лежит в механизме управления внутренним пулом памяти NGINX. Атакующий может манипулировать этим механизмом, чтобы добиться выполнения произвольного кода на сервере. Особую опасность придаёт то, что nginx-poolslip обходит защиту, известную как рандомизация адресного пространства (ASLR). Это ключевая функция операционной системы, которая затрудняет эксплуатацию уязвимостей памяти, делая адреса памяти непредсказуемыми. Обход ASLR означает, что атакующий может надёжно выполнить свою вредоносную полезную нагрузку.
Примечательно, что это не первый подобный инцидент за короткий промежуток времени. Ранее была обнаружена и закрыта уязвимость CVE-2026-42945 - критическая ошибка переполнения кучи в модуле ngx_http_rewrite_module. Та проблема существовала в коде более 18 лет и ставила под удар примерно 5,7 миллиона серверов NGINX, делая их уязвимыми для атак типа "отказ в обслуживании" и потенциально для удаленного выполнения кода. Компания-разработчик F5 выпустила исправление в версиях 1.31.0 и 1.30.1. Однако исследователи NebSec подтвердили, что это исправление не устранило всю поверхность атаки. Новая уязвимость nginx-poolslip фактически обходит предыдущие меры защиты, ставя под угрозу даже полностью обновлённые системы.
На момент написания этой статьи официальный идентификатор CVE для nginx-poolslip ещё не присвоен. Ни F5, ни проект NGINX не выпустили патча. NebSec заявила, что следует принципам ответственного раскрытия информации и опубликует полные технические детали только после появления исправления. Такая ситуация ставит организации в крайне сложное положение, особенно те, которые недавно обновили свои системы, полагая, что они защищены от предыдущих уязвимостей.
Потенциальные последствия атаки огромны. NGINX используется не только как веб-сервер, но и как обратный прокси, балансировщик нагрузки и шлюз для API. Компрометация такого сервера может привести к утечке данных, нарушению работы сервисов, финансовым потерям и репутационному ущербу. Особенно уязвимы инфраструктуры электронной коммерции, государственных учреждений и финансового сектора.
До выхода официального патча специалистам по безопасности настоятельно рекомендуется принять ряд упреждающих мер. В частности, ограничить доступ к административным интерфейсам NGINX, чтобы сократить поверхность атаки. Стоит развернуть правила межсетевого экрана уровня веб-приложений (WAF), способные фильтровать подозрительный трафик. Также необходимо убедиться, что механизм ASLR полностью включён: параметр randomize_va_space должен быть установлен в значение 2. Важно провести аудит конфигураций, содержащих директивы rewrite, if и set, особенно тех, где используются безымянные группы захвата библиотеки PCRE. В критически важных средах можно рассмотреть альтернативные архитектуры или прокси, устойчивые к ошибкам памяти.
Ссылки
