Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
CVE-2026-42945 su NGINX: exploit già in corso, rischio crash e RCE su milioni di server
La vulnerabilita CVE 2026 42945 che colpisce NGINX Plus e NGINX Open e gia sfruttata attivamente in rete a pochi giorni dalla divulgazione pubblica. Il problema riguarda un heap buffer overflow nel modulo ngx http rewrite module e interessa un intervallo molto ampio di versioni, da NGINX 0.6.27 fino a 1.30.0.
Questo dettaglio rende la falla particolarmente critica perche molte infrastrutture web e reverse proxy potrebbero risultare esposte, soprattutto in ambienti dove gli aggiornamenti non sono tempestivi o dove esistono configurazioni storiche rimaste invariate nel tempo.
Dal punto di vista dell impatto, un attaccante non autenticato puo inviare richieste HTTP appositamente costruite per causare il crash dei processi worker, generando un denial of service con interruzione del servizio. In scenari piu gravi e possibile arrivare alla remote code execution, ma con una condizione importante: la possibilita di esecuzione di codice risulta realistica solo quando ASLR e disabilitato. ASLR e una protezione di sistema pensata per rendere piu difficile lo sfruttamento di vulnerabilita di memoria, e nella maggior parte delle distribuzioni moderne e attiva per impostazione predefinita. Questo non elimina il rischio, perche il crash dei worker resta una tecnica di attacco efficace anche senza ottenere controllo completo del sistema.
Un ulteriore elemento da considerare e che la vulnerabilita dipende da una specifica configurazione di NGINX. In pratica non basta avere una versione vulnerabile, ma serve anche che la configurazione renda raggiungibile il percorso sfruttabile e che l attaccante riesca a conoscerla o dedurla. Nonostante cio, le rilevazioni su reti honeypot indicano tentativi concreti di weaponization, segnale che gruppi malevoli stanno automatizzando la ricerca di istanze esposte.
Per ridurre il rischio operativo, la priorita e applicare le patch disponibili e verificare rapidamente quali istanze NGINX rientrano nell intervallo di versioni impattate. In parallelo conviene controllare che ASLR sia attivo sui sistemi e riesaminare le direttive di rewrite e le regole correlate, limitando dove possibile le superfici di attacco esposte pubblicamente e monitorando i log per richieste anomale o ripetitive che possano indicare tentativi di crash dei worker.