Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Разработчики изучают возможную уязвимость 0-day в NGINX

14/04/22

Nginx-1

В конце прошлой недели на странице Twitter, связанной с хакерской группой BlueHornet, появилась информация об уязвимости в ПО для аутентификации пользователей NGINX LDAP. По словам хакеров, они подготовили экспериментальный эксплоит для NGINX 1.18.

«Протестировав его (эксплоит – ред.), мы выяснили, что к нему уязвим целый ряд компаний и корпораций», – сообщили BlueHornet.

Как пояснили хакеры, эксплуатация уязвимости проходит в два этапа. Первый этап – LDAP-инъекция (тип атаки на web-приложения, предусматривающий создание операторов LDAP на основе вводимых пользователями данных).

По словам BlueHornet, группа намеревалась сообщить о своем открытии команде безопасности Nginx через bug bounty-платформу HackerOne. Позднее была создана GitHub-страница с подробными объяснениями эксплуатации уязвимости.

Группа заявила, что уязвимость затрагивает конфигурации NGINX по умолчанию и раскритиковала разработчиков за то, что они никак не отреагировали на ее сообщение. Если верить хакерам, они протестировали свой эксплоит на системах «Королевского банка Канады», однако, были ли они взломаны, неизвестно. Позднее группа также сообщила о взломе систем китайского представительства компании UBS Securities.

В понедельник, 11 апреля, разработчики NGINX опубликовали заявление касательно уязвимости и отметили, что она затрагивает только эталонные реализации, но не NGINX Open Source и NGINX Plus.

Как пояснили в компании, эталонные реализации подвержены уязвимостям в трех случаях: если для конфигурации демона использовались параметры командной строки; применяются опциональные параметры конфигурации; аутентификация LDAP зависит от конкретного членства в группе. Для всех трех случаев были разработаны методы защиты от эксплуатации уязвимости.

Темы:УгрозыGitHubсерверы0-day уязвимости
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Охота за саморефлексией
    Алексей Гришин, директор по развитию сервисов кибербезопасности Бастиона
    В 2025 г. на 20% увеличилось число открытых вакансий “белых” хакеров, а потребность в выявлении критических угроз на ранних этапах только выросла. Практика багхантинга постепенно становится методом для ускорения обнаружения уязвимостей, но всегда ли это происходит до появления патча?
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Гонка хакеров и защитников. На чьей стороне время?
    Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies
    За 30 дней злоумышленники могут реализовать 71% событий, которые повлекут неприемлемые последствия.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...