Un Difetto Storico di NGINX Consente Esecuzione Remota di Codice Non Autenticata Negli ultimi giorni, esperti di cybersecurity hanno reso noto un grave difetto di sicurezza che affligge NGINX Plus e NGINX Open, un componente essenziale per milioni di siti…
Un Difetto Storico di NGINX Consente Esecuzione Remota di Codice Non Autenticata
Negli ultimi giorni, esperti di cybersecurity hanno reso noto un grave difetto di sicurezza che affligge NGINX Plus e NGINX Open, un componente essenziale per milioni di siti web in tutto il mondo. Scoperta da Depthfirst, questa vulnerabilità, nota come NGINX Rift, rappresenta un problema persistente che è passato inosservato per ben 18 anni e che potrebbe facilitare attacchi di esecuzione di codice remoto (RCE) senza necessità di autenticazione.
La Vulnerabilità: NGINX Rift
Il problema individuato nel modulo ngx_http_rewrite_module si presenta sotto forma di overflow del buffer, classificato come CVE-2026-42945, con un punteggio di severità di 9.2 secondo il CVSS v4. È sufficiente inviare richieste HTTP appositamente studiate per sfruttare questa vulnerabilità, provocando un overflow del buffer all’interno del processo di lavoro di NGINX. Questo può portare a un arresto anomalo del server o, nei casi più gravi, all’esecuzione di codice malevolo. La gravità dell’incidente è accentuata dalla facilità con cui un attaccante non autenticato può interferire con il sistema, rendendo l’attacco accessibile a chiunque abbia intenzione di colpire.
Dettagli Tecnici e Implicazioni
F5, la compagnia dietro NGINX, ha fornito un avviso dettagliato, spiegando che il problema si verifica quando una direttiva di rewrite è seguita da una condizione o da una cattura regex Perl-Compatible (PCRE) non nominata, contenente caratteri problematici come il punto interrogativo. Grazie a queste catture, un attaccante è in grado di inviare richieste che causano un overflow del buffer, preparato in modo tale da generare esecuzione di codice. La vulnerabilità è particolarmente insidiosa perché non richiede alcun tipo di autenticazione, permettendo a chiunque abbia accesso al server di sfruttarla.
L’impatto di questa vulnerabilità si estende anche all’Italia, dove molte aziende e istituzioni pubbliche utilizzano NGINX per la gestione dei loro web server. Un attacco ben orchestrato potrebbe portare ad interruzioni, furti di dati sensibili e danni reputazionali significativi.
Gli Aggiornamenti Necessari
Dopo una denuncia responsabile avvenuta il 21 aprile 2026, l’azienda ha già provveduto a rilasciare diverse versioni correttive che risolvono questa grave vulnerabilità. È fondamentale che le organizzazioni aggiornino le loro installazioni con le versioni appropriate. Le versioni corrette includono NGINX Plus R32 – R36, NGINX Open Source 1.0.0 – 1.30.0 e altre versioni specifiche, mentre gli utenti delle versioni obsolete (0.6.27 – 0.9.7) dovranno cercare soluzioni alternative, dato che non sono previste correzioni.
Conclusione: Agire Immediatamente è Fondamentale
In un ambiente digitale sempre più complesso e vulnerabile, è essenziale che le aziende non sottovalutino l’urgente necessità di una gestione proattiva della sicurezza. Per coloro che non possono applicare immediatamente le patch necessarie, si raccomanda di modificare la configurazione delle rewrite sostituendo le catture non nominate con quelle nominate in ogni direttiva colpita. Ignorare questi avvisi può mettere a rischio non solo i propri dati, ma anche l’intera infrastruttura aziendale. La sicurezza non deve mai essere un’opzione; deve essere un obiettivo primario.
