Các thông tin chi tiết về mặt kỹ thuật và mã khai thác thử nghiệm (Proof-of-Concept - PoC) nhắm vào một lỗ hổng bảo mật mức độ nghiêm trọng cao vừa được vá trên hệ thống máy chủ web NGINX hiện đã bị rò rỉ công khai trên mạng internet. Sự việc này đang đặt ra những thách thức lớn đối với quản trị viên hệ thống trên toàn cầu.

Lỗ hổng này được theo dõi dưới mã định danh quốc tế CVE-2026-42945 và nhận mức điểm số nghiêm trọng khủng khiếp là 9.2 trên thang đo CVSS. Điều đáng kinh ngạc là lỗi bảo mật này đã âm thầm tồn tại trong cấu trúc mã nguồn của NGINX suốt 16 năm qua, kể từ lần đầu tiên xuất hiện vào năm 2008. Lỗi chỉ vừa mới được F5 (đơn vị chủ quản của NGINX) chính thức khắc phục trong đợt phát hành bản vá định kỳ hàng quý diễn ra gần đây.

Cơ Chế Kỹ Thuật Và Bản Chất Của Lỗ Hổng

Theo báo cáo phân tích sâu từ công ty an ninh mạng Depthfirst, nguồn gốc của lỗi này xuất phát từ một lỗ hổng tràn bộ đệm phân vùng heap (heap buffer overflow) nằm trong thành phần ngx_http_rewrite_module. Lỗ hổng phát sinh khi máy chủ sử dụng đồng thời các chỉ thị cấu hình như rewrite và set, vốn cực kỳ phổ biến trong việc định tuyến và điều hướng luồng truy cập web.

Về mặt lập trình, cơ chế của công cụ xử lý kịch bản (script engine) chạy trên quy trình hai bước độc lập: bước đầu tiên dùng để tính toán kích thước bộ đệm cần thiết, và bước thứ hai để sao chép dữ liệu thực tế vào đó. Do trạng thái bên trong của engine bị thay đổi đột ngột giữa hai bước này, nếu một quy tắc thay thế (rewrite) chứa ký tự dấu chấm hỏi ("?") được áp dụng, một cờ nội bộ không được đồng bộ sẽ khiến bộ nhớ cấp phát bị thu hẹp bất thường. Kẻ tấn công có thể chèn các chuỗi URI độc hại đã được mã hóa để cố tình ghi vượt quá ranh giới cho phép của phân vùng heap.

Hệ Quả Nguy Hiểm Khi Bị Khai Thác

• Tấn công Từ chối Dịch vụ (DoS): Buộc các tiến trình của máy chủ phải khởi động lại liên tục, làm gián đoạn mọi dịch vụ trực tuyến.

• Thực thi mã từ xa (RCE): Mặc dù việc khai thác RCE phức tạp do ranh giới bộ đệm không chứa ký tự null, F5 vẫn cảnh báo nguy cơ kiểm soát hệ thống hoàn toàn nếu tính năng chống tràn bộ nhớ ASLR bị vô hiệu hóa vô tình hoặc chủ ý.

Danh Sách Các Phiên Bản Ảnh Hưởng Và Khuyến Nghị Bản Vá

F5 đã nhanh chóng phát hành bản vá và khuyến cáo toàn bộ các tổ chức đang vận hành hệ thống dựa trên NGINX phải tiến hành rà soát, nâng cấp ngay lập tức lên các phiên bản an toàn nhằm ngăn chặn tối đa nguy cơ bị tin tặc tấn công diện rộng.

• NGINX Plus (Thương mại): Đã được sửa đổi và an toàn tại các phiên bản 37.0.0, R36 P4, R32 P6.

• NGINX Open Source (Mã nguồn mở): Đã được khắc phục trong các bản cập nhật 1.31.0 và 1.30.1.

Hiện tại, do mã khai thác PoC đã xuất hiện tràn lan, các cuộc quét tìm lỗ hổng tự động từ phía tin tặc có thể diễn ra bất cứ lúc nào. Các chuyên gia khuyến nghị rằng nếu chưa thể nâng cấp phiên bản ngay lập tức, các quản trị viên nên tạm thời kiểm tra và tối ưu hóa lại các quy tắc điều hướng URI trong file cấu hình để giảm thiểu rủi ro.
Nguồn: https://www.securityweek.com/poc-code-published-for-critical-nginx-vulnerability/