Опасная уязвимость в Nginx? Хакеры угрожают ее продать, в Nginx им не верят

Хакерская группировка BlueHornet сообщила, что в ее распоряжении есть работающий эксплойт для Nginx 1.18. Разработчики Nginx изучили эту уязвимость и рассказали, как с ней бороться.

Хронология событий

События развивались в таком порядке:

• Сообщения о новой 0-day-уязвимости в Nginx первоначально появились в Twitter хакерской группировки BlueHornet (в настоящее время твиты скрыты), где хакеры рассказали, что эксплойт состоит из двух частей.
• Затем эта же группа создала GitHub, где объяснила, как проблема была обнаружена и как она работает.
• Представители BlueHornet также заявили, что поделятся информацией о проблеме с командой безопасности Nginx через платформу HackerOne.

Вот как они сами описывают историю обнаружения уязвимости:

«Мы получили этот эксплойт от нашей родственной группы BrazenEagle, которая разрабатывала его в течение нескольких недель. По крайней мере, с момента выхода Spring4Shell.

Изначально мы были в замешательстве, поскольку LDAP мало взаимодействует с Nginx, однако вместе с Nginx используется демон ldap-auth, который позволяет использовать этот метод. В основном он используется для получения доступа к частным инстансам GitHub, Bitbucket, Jenkins и GitLab. Всe, что связано с необязательными входами в систему посредством LDAP, уязвимо, включая учетные записи Atlassian»

Позиция команды Nginx: все не так

Разработчики популярного веб-сервера оперативно опубликовали пост-опровержение, который можно свести к следующим утверждениям:

• проблеме могут быть подвержены только эталонные реализации;
• уязвимость не касается обычных Nginx Open Source и Nginx Plus (то есть от пользователей не требуется никаких действий, если речь идет не об  эталонной реализации);
• при этом даже эталонные реализации могут быть уязвимы лишь при соблюдении ряда очень специфических условий.

BlueHornet не совсем согласны с такой оценкой ситуации:

«Поскольку Nginx выпустила сообщение в блоге, мы отправили им по электронной почте уточненное описание, некоторые дополнительные сведения о проблеме, которую они осветили. Однако эти люди быстро набросились на группу: “Это фейк” или “Это ничего не значит”.

Поскольку мы так и не получили ответа на наш вопрос о том, предлагается ли Nginx какое-либо вознаграждение за обнаруженную проблему, мы не стали в ответ делиться с ними более подробной информацией об этом. Если нет никакого вознаграждения или даже награды, мы рассмотрели другой вариант — продать эксплойт на breached.co, exploit.in или других подобных сайтах. (Нам предложили около $200 тысяч в XMR за эксплойт)».

Наша справка

По данным Netcraft на начало 2022 года, число сайтов, обслуживаемых Nginx, превышает долю в 35%, что делает его первым по популярности веб-сервером в мире. При этом, скоростные свойства этого веб-сервера оценены по достоинству — Nginx также является самым популярным веб-сервером среди сегмента Highload-сайтов, его доля в этом сегменте достигает 60% (среди топ 10 000 самых посещаемых сайтов в мире).