Популярный межсетевой экран уровня веб-приложений (WAF - система фильтрации и анализа HTTP-трафика) ModSecurity столкнулся с серьёзной проблемой, угрожающей стабильности защищаемых серверов. Исследователи безопасности обнаружили уязвимость CVE-2026-30923 в библиотеке libModSecurity3, входящей в состав движка третьей версии продукта. Этот дефект позволяет удалённому злоумышленнику вызывать отказ в обслуживании (DoS - ситуация, когда система перестаёт отвечать на легитимные запросы) на целевом сервере. Более того, в открытом доступе уже появилось доказательство концепции (PoC - прототип, подтверждающий работоспособность атаки), что делает угрозу особенно актуальной для администраторов, которые ещё не установили исправление.
Уязвимость CVE-2026-30923
Суть проблемы кроется в работе трансформации данных под названием t:hexDecode. Эта функция используется в правилах ModSecurity для преобразования шестнадцатеричной строки обратно в читаемый текст. Ошибка заключается в выходе за границы буфера (CWE-125 - ситуация, когда программа пытается прочитать данные за пределами выделенной области памяти). Происходит это, когда в строке запроса передаётся параметр, содержащий всего один символ. Такой запрос вызывает ошибку сегментации (segfault - критический сбой, приводящий к аварийному завершению процесса) в рабочем процессе веб-сервера. По сути, атакующему достаточно отправить один пакет, чтобы "уронить" обработчик соединений.
Серьёзность угрозы подтверждается оценкой по стандарту CVSS 4.0, которая составляет 8,2 балла из десяти - это высокий уровень опасности. Вектор атаки сетевой, сложность низкая, никаких привилегий злоумышленнику не требуется. Единственным сдерживающим фактором является необходимость специфической конфигурации: для успешного срабатывания уязвимости на сервере должно быть правило, которое применяет функцию t:hexDecode к параметрам строки запроса.
Особую тревогу вызывает простота эксплуатации. Согласно опубликованным данным, достаточно написать однострочный сценарий на языке bash - командной оболочке Unix - чтобы реализовать целенаправленную DoS-атаку. Ёмкость такого скрипта минимальна, а значит, атаку можно легко автоматизировать и проводить в масштабе. Отказ в обслуживании происходит мгновенно, и ресурс становится недоступен до тех пор, пока атаку не остановят. Впрочем, разработчики отмечают, что после прекращения вредоносных запросов рабочие процессы перезапускаются автоматически, и служба восстанавливается без вмешательства администратора.
Под удар попали все системы, использующие библиотеку libModSecurity3 версии ниже 3.0.15. Это тысячи веб-приложений на базе Apache, Nginx и IIS, которые полагаются на ModSecurity как на основной инструмент защиты от стандартных веб-атак, таких как внедрение SQL-кода или межсайтовый скриптинг. Учитывая широкое распространение этого решения в корпоративном секторе и у хостинг-провайдеров, потенциальный ущерб от атаки может быть значительным: простой бизнес-критичных приложений, финансовые потери и репутационные риски.
Производитель уже выпустил исправление. Разработчики проекта ModSecurity закрыли уязвимость в релизе 3.0.15, который доступен на официальной странице в репозитории GitHub. Всем администраторам и инженерам по информационной безопасности настоятельно рекомендуется как можно скорее обновить библиотеку до указанной версии. Если прямое обновление невозможно, стоит временно отключить правила, использующие трансформацию t:hexDecode, либо добавить исключения на уровне межсетевого экрана для блокировки подозрительных односимвольных запросов к соответствующим конечным точкам.
Этот инцидент лишний раз напоминает, что даже зрелые и широко распространённые продукты защиты не застрахованы от ошибок, которые могут быть вызваны периферийными случаями на границе допустимых значений. Пренебрежение своевременным обновлением компонентов в данном случае означает, что злоумышленник может вывести из строя систему одним лишь нажатием кнопки.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-30923
- https://github.com/owasp-modsecurity/ModSecurity/security/advisories/GHSA-qrjc-3jpc-3h2g
- https://github.com/owasp-modsecurity/ModSecurity/releases/tag/v3.0.15
