Хакерская группировка BlueHornet сообщила, что в ее распоряжении есть работающий эксплойт для Nginx 1.18. Разработчики Nginx изучили эту уязвимость и рассказали, как с ней бороться.
События развивались в таком порядке:
Вот как они сами описывают историю обнаружения уязвимости:
«Мы получили этот эксплойт от нашей родственной группы BrazenEagle, которая разрабатывала его в течение нескольких недель. По крайней мере, с момента выхода Spring4Shell.
Изначально мы были в замешательстве, поскольку LDAP мало взаимодействует с Nginx, однако вместе с Nginx используется демон ldap-auth, который позволяет использовать этот метод. В основном он используется для получения доступа к частным инстансам GitHub, Bitbucket, Jenkins и GitLab. Всe, что связано с необязательными входами в систему посредством LDAP, уязвимо, включая учетные записи Atlassian»
Разработчики популярного веб-сервера оперативно опубликовали пост-опровержение, который можно свести к следующим утверждениям:
BlueHornet не совсем согласны с такой оценкой ситуации:
«Поскольку Nginx выпустила сообщение в блоге, мы отправили им по электронной почте уточненное описание, некоторые дополнительные сведения о проблеме, которую они осветили. Однако эти люди быстро набросились на группу: “Это фейк” или “Это ничего не значит”.
Поскольку мы так и не получили ответа на наш вопрос о том, предлагается ли Nginx какое-либо вознаграждение за обнаруженную проблему, мы не стали в ответ делиться с ними более подробной информацией об этом. Если нет никакого вознаграждения или даже награды, мы рассмотрели другой вариант — продать эксплойт на breached.co, exploit.in или других подобных сайтах. (Нам предложили около $200 тысяч в XMR за эксплойт)».
По данным Netcraft на начало 2022 года, число сайтов, обслуживаемых Nginx, превышает долю в 35%, что делает его первым по популярности веб-сервером в мире. При этом, скоростные свойства этого веб-сервера оценены по достоинству — Nginx также является самым популярным веб-сервером среди сегмента Highload-сайтов, его доля в этом сегменте достигает 60% (среди топ 10 000 самых посещаемых сайтов в мире).
Сегодня мы поговорим о том, как выбрать лучшие курсы Power BI в Украине, особенно для…
В 2023 году во всех крупнейших регионах конкуренция за вакансию выросла на 5–12%. Не исключением…
Unicorn Hunter/Talent Manager Лина Калиш создала бесплатный трекер поиска работы в Notion, систематизирующий все этапы…
Edtech-стартап Mate academy принял решение отправить своих работников в десятидневный отпуск – с 25 декабря…
Служба безопасности Украины задержала в Киеве 46-летнего программиста, который за деньги устанавливал шпионские программы и…
IT-специалист Джордан Катлер создал и выложил на Github подборку разнообразных ресурсов, которые помогут достичь уровня…