CVE-2026-42945: exploitation NGINX iniziata il 16 maggio

CVE-2026-42945: exploitation NGINX iniziata il 16 maggio

Gli attacchi in-the-wild sfruttanti la vulnerabilità critica CVE-2026-42945 nel web server NGINX, ribattezzata "NGINX Rift", sono ufficialmente iniziati il 16 maggio 2026. La conferma arriva dai sistemi canary di VulnCheck, che hanno intercettato i primi tentativi di compromissione a pochi giorni dalla pubblicazione del proof-of-concept (PoC). Questa falla espone milioni di server a rischi concreti di interruzione del servizio e, in scenari specifici, all'esecuzione remota di codice malevolo (RCE).

La vulnerabilità è stata classificata con un punteggio CVSS di 9.2, riflettendo la gravità di un difetto che risiede nel modulo ngx_http_rewrite_module. Nonostante l'attivazione della falla richieda configurazioni specifiche, la pervasività di NGINX come infrastruttura portante del web moderno rende questa minaccia una priorità assoluta per i team di sicurezza. Dai bilanciatori di carico aziendali ai reverse proxy, la superficie di attacco attraversa quasi due decenni di evoluzione del software.

Il motore di rewrite a due passaggi: la genesi tecnica della Rift

La radice tecnica di NGINX Rift risiede in una discrepanza logica nel calcolo della dimensione del buffer durante la riscrittura degli URI. Il modulo ngx_http_rewrite_module opera attraverso un motore script che elabora le direttive in due passaggi distinti. Nel primo passaggio, il sistema calcola lo spazio di memoria necessario per la nuova stringa; nel secondo, esegue la copia effettiva dei dati. L'errore nasce quando un flag di stato interno non viene propagato correttamente.

Nello specifico, quando il motore incontra configurazioni che utilizzano espressioni regolari con catture senza nome (come le variabili $1 o $2) e una stringa di sostituzione contenente un punto interrogativo, il calcolo della lunghezza può fallire. Se a questa sequenza seguono altre direttive come rewrite, if o set, il sistema finisce per scrivere dati oltre i limiti del buffer heap precedentemente allocato. Questa corruzione della memoria permette all'attaccante di manipolare lo stato interno del processo worker.

La scoperta di questo bug ha evidenziato una latenza di ben 16 anni nella codebase di NGINX. Il fatto che un errore così fondamentale sia rimasto silente dalla versione 0.6.27 dimostra la difficoltà di individuare difetti di gestione della memoria in sistemi ad alte prestazioni. Anche una codebase considerata tra le più sicure può nascondere insidie strutturali che riemergono solo sotto un'analisi specifica dei percorsi di esecuzione meno comuni del motore script.

DoS e RCE: le due facce del rischio per le infrastrutture web

L'impatto di CVE-2026-42945 varia significativamente in base alla configurazione del sistema ospite. Sulle installazioni predefinite, il tentativo di exploit causa una violazione di segmentazione che abbatte il processo worker. Sebbene NGINX sia progettato per riavviare automaticamente i worker caduti, un attacco continuo può saturare le risorse di sistema, rendendo il servizio web irraggiungibile. Questo scenario di Denial-of-Service è la minaccia più immediata rilevata dai sistemi di monitoraggio di VulnCheck.

Tuttavia, il pericolo maggiore risiede nella potenziale esecuzione di codice. Nei sistemi in cui l'Address Space Layout Randomization (ASLR) è disabilitato, la corruzione dell'heap può essere sfruttata per dirottare il flusso di esecuzione. Un attaccante potrebbe quindi iniettare comandi arbitrari nel contesto del web server. Sebbene non vi siano ancora conferme di RCE avvenute con successo in produzione, la sola possibilità tecnica rende l'urgenza dell'aggiornamento critica per la sicurezza delle infrastrutture.

La natura "non autenticata" dell'attacco significa che chiunque abbia accesso al server via HTTP può tentare la compromissione. In un ecosistema dove NGINX funge spesso da gateway per intere reti interne, un exploit RCE riuscito potrebbe fungere da testa di ponte per movimenti laterali. La protezione del perimetro dipende quindi dalla velocità con cui le organizzazioni riusciranno a identificare e patchare le istanze vulnerabili prima che gli attaccanti perfezionino le tecniche di exploit.

"We’re seeing active exploitation of CVE-2026-42945 in F5 NGINX, a heap buffer overflow affecting both NGINX Plus and NGINX Open Source on VulnCheck Canaries just days after the CVE was published"
— Patrick Garrity, ricercatore presso VulnCheck

L'esposizione globale: 5,7 milioni di server rilevati da Censys

La portata numerica della vulnerabilità è imponente. Un'indagine condotta tramite la piattaforma Censys ha rivelato che circa 5,7 milioni di server NGINX esposti pubblicamente su Internet eseguono versioni potenzialmente affette da NGINX Rift. Questo numero comprende sia la versione Open Source (dalla 0.6.27 alla 1.30.0) sia l'edizione commerciale NGINX Plus (dalla vR32 alla R36). Non tutti questi server utilizzano la configurazione di rewrite specifica necessaria all'exploit, ma la vastità del campione è significativa.

La sfida principale risiede nella frammentazione delle installazioni. NGINX è spesso integrato in appliance hardware, immagini container o distribuzioni Linux legacy che non ricevono aggiornamenti frequenti. Molti di questi 5,7 milioni di host potrebbero rimanere vulnerabili per mesi a causa della difficoltà di patchare sistemi critici che richiedono tempi di inattività minimi. La natura stessa dell'infrastruttura edge rende il deployment delle correzioni un'operazione logistica complessa per le grandi imprese.

Il dato di Censys sottolinea come la longevità del bug abbia permesso la sua infiltrazione in quasi ogni settore merceologico. Dalle istituzioni finanziarie ai fornitori di servizi cloud, la presenza di NGINX è capillare. Ogni amministratore di sistema deve ora confrontarsi con la necessità di verificare se le proprie configurazioni di rewrite rientrano nel pattern pericoloso individuato dai ricercatori, trasformando una vulnerabilità tecnica in un onere operativo globale di vasta scala.

Dalla pubblicazione del PoC all'offensiva: la finestra di 72 ore

La rapidità con cui si è passati dalla teoria alla pratica criminale è preoccupante. Il proof-of-concept è stato reso pubblico dai ricercatori di Depthfirst e, in circa 72 ore, i primi attacchi reali sono stati registrati. Questa compressione dei tempi dimostra che i threat actor monitorano costantemente i repository di sicurezza per automatizzare l'uso di nuovi exploit. La finestra temporale per i difensori si è ridotta drasticamente, imponendo ritmi di risposta immediati.

I ricercatori di Depthfirst hanno descritto l'attacco come un metodo per corrompere l'heap inviando semplicemente un URI costruito ad arte. Questa semplicità di esecuzione ha permesso una rapida adozione da parte dei gruppi dediti alla scansione di massa. Una volta che un exploit viene inserito in uno script di scansione automatizzata, l'intera superficie internet vulnerabile viene colpita in tempi brevissimi, precedendo spesso la capacità di reazione manuale dei team IT responsabili della sicurezza.

Questa dinamica evidenzia l'importanza di sistemi di monitoraggio proattivi. Senza i canary di VulnCheck, l'inizio dell'exploitation in-the-wild il 16 maggio avrebbe potuto passare inosservato per giorni, permettendo agli attaccanti di agire indisturbati. La notifica tempestiva dell'attività malevola è oggi uno strumento efficace per spingere le organizzazioni verso un ciclo di patch accelerato, necessario per contrastare exploit che arrivano sul mercato quasi in contemporanea con le analisi tecniche ufficiali.

Cosa fare adesso

• Aggiornamento immediato del software: È fondamentale installare NGINX Open Source nelle versioni 1.31.0 o 1.30.1. Per gli utenti della versione commerciale NGINX Plus, è necessario applicare tempestivamente le patch ufficiali rilasciate da F5 per le versioni coinvolte.
• Audit delle configurazioni rewrite: Ispezionare i file di configurazione alla ricerca di direttive rewrite che utilizzano catture regex non nominate (es. $1, $2) insieme a stringhe che includono punti interrogativi. Se presenti, queste righe devono essere modificate o rimosse prioritariamente.
• Verifica della protezione ASLR: Assicurarsi che l'Address Space Layout Randomization sia attivo a livello di kernel del sistema operativo. Questa protezione non impedisce il crash del processo (DoS), ma rappresenta la barriera principale contro i tentativi di esecuzione remota di codice (RCE).
• Monitoraggio dei log di errore: Implementare alert specifici per i crash dei processi worker di NGINX. Un picco insolito di riavvii dei worker, accompagnato da URI contenenti sequenze anomale di caratteri speciali, potrebbe indicare tentativi di exploitation in corso da parte di attori malevoli.

L'emergenza NGINX Rift non è un evento isolato, ma un monito sulla fragilità delle componenti core del traffico mondiale. Con milioni di server potenzialmente a rischio e attacchi già in corso, la velocità di risposta tecnica determinerà la capacità delle organizzazioni di evitare interruzioni critiche. La corretta gestione della memoria e la vigilanza sulle configurazioni legacy rimangono i pilastri insostituibili della difesa perimetrale nell'attuale panorama delle minacce.

Le informazioni contenute in questo report sono state verificate sulla base delle analisi tecniche di VulnCheck e Depthfirst e sono aggiornate alla data dell'ultima rilevazione degli attacchi in-the-wild.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://unit42.paloaltonetworks.com/captive-portal-zero-day/
• https://www.helpnetsecurity.com/2026/05/18/ngnix-vulnerability-exploited-cve-2026-42945/
• https://www.securityweek.com/exploitation-of-critical-nginx-vulnerability-begins/
• https://thehackernews.com/2026/05/funnel-builder-flaw-under-active.html
• https://thehackernews.com/2026/05/ollama-out-of-bounds-read-vulnerability.html