Giriş
Siber güvenlik alanında yapılan son araştırmalar, NGINX Plus ve NGINX Open kaynakında yer alan kritik güvenlik açıklarını gün yüzüne çıkardı. Özellikle, yaklaşık 18 yıl boyunca fark edilmeden kalmış bir zafiyet, siber saldırganlara uzaktan kod çalıştırma veya hizmet kesintisi oluşturma imkanı tanıyor.
Saldırı Nasıl Çalışıyor?
Güvenlik açığı, ngx_http_rewrite_module (CVE-2026-42945, CVSS v4 puanı: 9.2) üzerinde gerçekleşen bir heap buffer overflow sorununu içeriyor. Bu zafiyet, yanlış yapılandırılmış HTTP talepleri gönderilmesi durumunda oluşmakta ve saldırganların, NGINX işçi süreci üzerinde uzaktan kod çalıştırmasına veya hizmet kesintisi (DoS) yaratmasına imkan tanımaktadır.
F5, bu açığın, rewrite direktifinin ardından bir rewrite, if veya set direktifi ile birlikte tanımsız bir Perl-Uyumlu Düzenli İfade (PCRE) içeren bir yeniden yazım dizesi ile birlikte mevcut olduğunu açıklamıştır. Ayrıca, ASLR (Address Space Layout Randomization) devre dışı bırakılmış sistemlerde, bu durum kod çalıştırma imkanı da sunmaktadır.
Etkilenen Sistemler
Bu açığın etkilediği sistemler ve düzeltmeler içeren versiyonlar aşağıdaki gibidir:
- NGINX Plus R32 – R36 (Düzeltmeler R32 P6 ve R36 P4’te yer alıyor)
- NGINX Open Source 1.0.0 – 1.30.0 (Düzeltmeler 1.30.1 ve 1.31.0’da yer alıyor)
- NGINX Open Source 0.6.27 – 0.9.7 (Düzeltme planlanmamaktadır)
- NGINX Instance Manager 2.16.0 – 2.21.1
- F5 WAF for NGINX 5.9.0 – 5.12.1
- NGINX App Protect WAF 4.9.0 – 4.16.0
- NGINX App Protect WAF 5.1.0 – 5.8.0
- F5 DoS for NGINX 4.8.0
- NGINX App Protect DoS 4.3.0 – 4.7.0
- NGINX Gateway Fabric 1.3.0 – 1.6.2
- NGINX Gateway Fabric 2.0.0 – 2.5.1
- NGINX Ingress Controller 3.5.0 – 3.7.2
- NGINX Ingress Controller 4.0.0 – 4.0.1
- NGINX Ingress Controller 5.0.0 – 5.4.1
Diğer Güvenlik Açıkları
NGINX Plus ve NGINX Open Source, ayrıca şu üç başka güvenlik açığını da içermektedir:
- CVE-2026-42946 (CVSS v4 puanı: 8.3) – ngx_http_scgi_module ve ngx_http_uwsgi_module modüllerinde aşırı bellek tahsisi zafiyeti.
- CVE-2026-40701 (CVSS v4 puanı: 6.3) – ngx_http_ssl_module modülünde kullanımdan sonra serbest bırakılma zafiyeti.
- CVE-2026-42934 (CVSS v4 puanı: 6.3) – ngx_http_charset_module modülünde sınır aşımı okuma zafiyeti.
Çözüm ve Korunma
Kullanıcılara, optimal koruma için en son versiyonları uygulamaları önerilmektedir. Eğer CVE-2026-42945 için hemen güncelleme yapma olanağı yoksa, etkilenen her `rewrite` direktifinde tanımsız yakalamaları adlandırılmış yakalamalarla değiştirmeleri önerilir. Bu, kötü niyetli saldırganların istismarına karşı bir önlem sağlayacaktır.
Sonuç
Güncellemelerinizi derhal yapın ve güvenlik açıklarını en aza indirmek için yapılandırmalarınızı gözden geçirin. Özellikle, tanımsız yakalama kullanan `rewrite` direktiflerinizi yeniden düzenleyin. Güvenliğinizi artırmak için bu zafiyetleri dikkate almanız kritik önem taşımaktadır.
