Опасная уязвимость в Nginx? Хакеры угрожают ее продать, в Nginx им не верят
Хакерская группировка BlueHornet сообщила, что в ее распоряжении есть работающий эксплойт для Nginx 1.18. Разработчики Nginx изучили эту уязвимость и рассказали, как с ней бороться.
Хронология событий
События развивались в таком порядке:
- Сообщения о новой 0-day-уязвимости в Nginx первоначально появились в Twitter хакерской группировки BlueHornet (в настоящее время твиты скрыты), где хакеры рассказали, что эксплойт состоит из двух частей.
- Затем эта же группа создала GitHub, где объяснила, как проблема была обнаружена и как она работает.
- Представители BlueHornet также заявили, что поделятся информацией о проблеме с командой безопасности Nginx через платформу HackerOne.
Вот как они сами описывают историю обнаружения уязвимости:
«Мы получили этот эксплойт от нашей родственной группы BrazenEagle, которая разрабатывала его в течение нескольких недель. По крайней мере, с момента выхода Spring4Shell.
Изначально мы были в замешательстве, поскольку LDAP мало взаимодействует с Nginx, однако вместе с Nginx используется демон ldap-auth, который позволяет использовать этот метод. В основном он используется для получения доступа к частным инстансам GitHub, Bitbucket, Jenkins и GitLab. Всe, что связано с необязательными входами в систему посредством LDAP, уязвимо, включая учетные записи Atlassian»
Позиция команды Nginx: все не так
Разработчики популярного веб-сервера оперативно опубликовали пост-опровержение, который можно свести к следующим утверждениям:
- проблеме могут быть подвержены только эталонные реализации;
- уязвимость не касается обычных Nginx Open Source и Nginx Plus (то есть от пользователей не требуется никаких действий, если речь идет не об эталонной реализации);
- при этом даже эталонные реализации могут быть уязвимы лишь при соблюдении ряда очень специфических условий.
BlueHornet не совсем согласны с такой оценкой ситуации:
«Поскольку Nginx выпустила сообщение в блоге, мы отправили им по электронной почте уточненное описание, некоторые дополнительные сведения о проблеме, которую они осветили. Однако эти люди быстро набросились на группу: “Это фейк” или “Это ничего не значит”.
Поскольку мы так и не получили ответа на наш вопрос о том, предлагается ли Nginx какое-либо вознаграждение за обнаруженную проблему, мы не стали в ответ делиться с ними более подробной информацией об этом. Если нет никакого вознаграждения или даже награды, мы рассмотрели другой вариант — продать эксплойт на breached.co, exploit.in или других подобных сайтах. (Нам предложили около $200 тысяч в XMR за эксплойт)».
Наша справка
По данным Netcraft на начало 2022 года, число сайтов, обслуживаемых Nginx, превышает долю в 35%, что делает его первым по популярности веб-сервером в мире. При этом, скоростные свойства этого веб-сервера оценены по достоинству — Nginx также является самым популярным веб-сервером среди сегмента Highload-сайтов, его доля в этом сегменте достигает 60% (среди топ 10 000 самых посещаемых сайтов в мире).
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: