Xi servers b'nginx jibqgħu vulnerabbli għat-teknika Nginx Alias Traversal, li ġiet proposta fil-konferenza Blackhat lura fl-2018 u tippermetti aċċess għal fajls u direttorji li jinsabu barra mid-direttorju tal-għeruq speċifikat fid-direttiva "alias". Il-problema tidher biss f'konfigurazzjonijiet b'direttiva "alias" imqiegħda ġewwa l-blokka "lokazzjoni", li l-parametru tagħha ma jispiċċax b'karattru "/", filwaqt li "alias" jispiċċa b'"/".
L-essenza tal-problema hija li l-fajls għal blokki bid-direttiva tal-alias jingħataw billi titwaħħal il-mogħdija mitluba, wara li tqabbelha mal-maskra mid-direttiva tal-post u tinqata 'l-parti tal-mogħdija speċifikata f'din il-maskra. Għall-eżempju ta' konfigurazzjoni vulnerabbli murija hawn fuq, attakkant jista' jitlob il-fajl "/img../test.txt" u din it-talba se taqbel mal-maskra speċifikata fil-post "/img", wara li d-denb li jifdal "../test.txt" se jkun mehmuż mal-mogħdija mid-direttiva tal-alias "/var/images/" u bħala riżultat il-fajl "/var/images/./ se jintalab jitlob/.." Għalhekk, l-attakkanti jistgħu jaċċessaw kwalunkwe fajl fid-direttorju "/var", u mhux biss fajls f'"/var/images/", pereżempju, biex tniżżel il-log nginx, tista 'tibgħat it-talba "/img../log/nginx/access.log".
F'konfigurazzjonijiet li fihom il-valur tad-direttiva tal-alias ma jispiċċax b'karattru "/" (per eżempju, "alias /var/images;"), l-attakkant ma jistax jinbidel għad-direttorju prinċipali, iżda jista' jitlob direttorju ieħor f'/var li ismu jibda b'dak speċifikat fil-konfigurazzjoni. Pereżempju, billi titlob "/img.old/test.txt" tista' taċċessa d-direttorju "var/images.old/test.txt".
Analiżi tar-repożitorji fuq GitHub wriet li żbalji fil-konfigurazzjoni nginx li jwasslu għall-problema għadhom jinstabu fi proġetti reali. Per eżempju, il-preżenza ta 'problema ġiet skoperta fil-backend tal-maniġer tal-password ta' Bitwarden u setgħet tintuża biex taċċessa l-fajls kollha fid-direttorju /etc/bitwarden (it-talbiet għal /attachments inħarġu minn /etc/bitwarden/attachments/), inkluża d-database maħżuna hemmhekk bil-passwords “vault.db”, ċertifikat u zkuk, li għalihom kien biżżejjed biex jibagħtu talbiet ident./attachmentsd../f. x”, “/atta chments../logs/api.log” eċċ.
Il-metodu ħadem ukoll mal-Google HPC Toolkit, fejn it-talbiet /static ġew ridiretti lejn id-direttorju "../hpc-toolkit/community/front-end/website/static/". Biex tikseb database b'ċavetta privata u kredenzjali, attakkant jista' jibgħat mistoqsijiet "/static../.secret_key" u "/static../db.sqlite3".
Sors: opennet.ru