NGINX’de Bulunan 18 Yıllık Güvenlik Açığı ve Önemi
NGINX açık kaynak web sunucusunda tespit edilen 18 yıllık bir güvenlik açığı, hizmet aksatma (DoS) ve belirli koşullar altında uzaktan kod çalıştırma (RCE) imkanı sunmaktadır. Bu kritik açık, siber güvenlik alanında önemli bir risk oluşturmakta ve hızlıca çözülmesi gereken bir durumu ortaya çıkarmaktadır.
Saldırı Nasıl Çalışıyor?
Söz konusu güvenlik açığı, CVE-2026-42945 koduyla takip edilmektedir ve kritik bir şiddet derecesi olan 9.2 değerine sahiptir. Bu açık, NGINX’nin 0.6.27 ile 1.30.0 arasındaki sürümlerini etkilemektedir. Araştırmacıların belirttiğine göre, bu açık, NGINX yapılandırmalarında hem ‘rewrite’ hem de ‘set’ direktiflerinin kullanılması durumunda tetiklenmektedir. Aşağıdaki teknik açıklama bu açığın arka planını aydınlatmaktadır:
– NGINX’nin içsel script motoru, yeniden yazma işlemlerini iki aşamada işler: biri bellek tahsis miktarını hesaplamak, diğeri ise veriyi kopyalamaktır.
– ‘is_args’ bayrağının, ‘?’ içeren bir yeniden yazma işleminden sonra ayarlı kalması, NGINX’in tampon boyutunu kaçırılmış URI uzunluklarıyla hesaplamasına neden olur, ardından daha büyük, kaçırılmış verilerle yazma işlemi gerçekleştiğinde bir heap buffer overflow’a yol açar.
Araştırmacılar, özel olarak hazırlanmış HTTP istekleri aracılığıyla kimlik doğrulaması yapılmamış kod çalıştırmayı demonstrasyonla göstermiştir. Özellikle, bu açığın, bellek tabanlı saldırılara karşı koruma sağlayan Adres Alanı Düzenleme Rastgeleleştirmesi (ASLR) kapalı olan sistemlerde etkili olduğu tespit edilmiştir.
Etkilenen Sistemler
Bu güvenlik açıkları, NGINX’nin çeşitli sürümlerini etkilemektedir. İşte etkilenen sürümler:
- NGINX Open Source: 0.6.27 – 1.30.0
- NGINX Plus: R32 – R36
- NGINX Instance Manager: 2.16.0 – 2.21.1
- F5 WAF for NGINX: 5.9.0 – 5.12.1
- NGINX App Protect WAF: 4.9.0 – 4.16.0 ve 5.1.0 – 5.8.0
- F5 DoS for NGINX: 4.8.0
- NGINX App Protect DoS: 4.3.0 – 4.7.0
- NGINX Gateway Fabric: 1.3.0 – 1.6.2 ve 2.0.0 – 2.5.1
- NGINX Ingress Controller: 3.5.0 – 3.7.2, 4.0.0 – 4.0.1 ve 5.0.0 – 5.4.1
Çözüm ve Korunma
Çözüm olarak, CVE-2026-42945 açığına karşı düzeltmeler, NGINX Open Source 1.31.0 ve 1.30.1, NGINX Plus R36 P4 ve NGINX Plus R32 P6 sürümlerinde sağlanmıştır. Ayrıca, güncellemeleri uygulayamayan kullanıcılar için F5, isimsiz PCRE yakalama gruplarını adlandırılmış yakalamalarla değiştirmeyi öneriyor, bu da ana suistimal gereksinimini ortadan kaldırmaktadır.
Sonuç
Etkilenen sistemlerde güvenliğin sağlanması için derhal güncellemelerin yapılması gerekmektedir. Eğer güncelleme yapamıyorsanız, belirtilen yapılandırmalardaki değişiklikleri uygulamanız hayati önem taşımaktadır. NGINX’inizi koruyun ve potansiyel saldırı vektörlerine karşı önlemlerinizi alın!
