Une vulnérabilité zéro jour nouvellement signalée sur NGINX Plus et NGINX Open, identifiée comme CVE-2026-42945, est activement exploité dans l'environnement réel quelques jours après sa publication, selon les rapports de recherche. C'est une Débordement de tampons dans les lots (débordement de tampons) dans le module module ngx _ http _ rewrite _, attribuable au code qui, selon l'analyse médico-légale, a été introduit il y a des années et affecte un large éventail de versions historiques de NGINX. Le risque est considéré comme élevé (CVSS ~ 9.x) parce qu'un attaquant non authentifié peut causer la chute des processus des travailleurs et, même dans des situations spécifiques, atteindre l'exécution de code à distance.
Il est important de distinguer deux scénarios techniques qui définissent la gravité pratique: déni de service (DoS) des travailleurs; d'autre part, Exécution de code à distance (URCE) Il est théoriquement possible mais nécessite des conditions supplémentaires - en particulier que l'ASLR (Address Space Layout Randomization) soit désactivé - et que l'attaquant connaisse ou découvre une configuration NGINX spécifique qui rend le module de réécriture exploitable. Dans les environnements modernes et bien configurés, ASLR est généralement actif par défaut, ce qui complique la transformation du débordement en explosion stable, même si cela ne le rend pas impossible.
Les conséquences pratiques varient selon le déploiement: pour les serveurs web publics, la capacité de provoquer un redémarrage continu des travailleurs peut dégrader les services et ouvrir les fenêtres pour les attaques suivantes; pour les infrastructures gérées avec des outils ou des conteneurs d'automatisation, la combinaison de cette défaillance avec des faiblesses de configuration externes (par exemple, des contrôles d'accès insuffisants) peut faciliter les mouvements latéraux et la persistance. En outre, des chercheurs ont observé que les acteurs ont commencé à scanner et exploiter des installations vulnérables, ce qui a permis de priorité opérationnelle pour les administrateurs.
Parallèlement, la même équipe d'enquête a détecté une exploitation ouvertDCIM, une application open source pour la gestion de l'infrastructure des centres de données, où plusieurs défaillances critiques pouvant être enchaînées pour obtenir des URCE en quelques étapes ont été identifiées. Si votre organisation utilise openDCIM, examinez le code et déployez immédiatement; le projet est disponible dans GitHub à https: / / github.com / samilliken / openDCIM et il convient de comparer la version utilisée avec les correctifs publiés par maintenance ou atténuation temporaire.
Pour donner la priorité à la réponse technique, commencer par appliquer des correctifs officiels dès qu'ils sont disponibles pour votre variante NGINX. F5, qui maintient NGINX depuis son acquisition, publie des avis et des correctifs; il est également conseillé d'examiner la base de données des vulnérabilités publiques dans le NVD pour les références croisées et les détails du CVE dans https: / / nvd.nist.gov /. Si vous ne pouvez pas vous garer immédiatement, mettez en œuvre des mesures d'atténuation telles que la restriction de l'accès aux instances touchées à partir d'Internet, l'application des règles du WAF pour bloquer les modèles de demande suspects au module de réécriture et l'isolement des systèmes critiques.
Vérifier et renforcer la protection de la mémoire du système : vérifier l'état ASLR avec la commande du noyau (par exemple, noyau de sysctl) et, si pour une raison quelconque il est désactivé dans les systèmes de production, sysctl -w noyau. Randomiser _ va _ espace = 2. Bien qu'activer ASLR ne remplace pas le patch, il réduit considérablement la probabilité d'une opération réussie qui transforme le débordement en exécution de code.
Audit des configurations NGINX en recherchant des règles complexes en ngx _ http _ réécriture _ module et des modèles inhabituels qui peuvent être la cible de requêtes manipulées; l'explosion nécessite de connaître ou de découvrir des paramètres vulnérables, de sorte qu'un examen et une simplification des règles de réécriture peuvent atténuer le risque. Surveillez également le journal d'accès et d'erreur pour détecter les requêtes inhabituelles visant à réécrire les paramètres et les shells web ou les signaux de chargement à distance.
Dans le cas d'openDCIM et d'applications web similaires, appliquer le principe de moins de privilèges : limiter l'accès administratif aux réseaux de gestion, désactiver les variables d'environnement telles que REMOTE _ USER sans contrôle d'authentification dans les environnements Docker, et valider ou guérir complètement les paramètres qui peuvent être passés à des systèmes ou des commandes, comme le paramètre "dot" identifié dans les enquêtes. L'audit de l'intégrité du fichier et le contrôle de sortie (p. ex., les connexions inversées) aident à détecter les shells web tôt.
Enfin, gardez à l'esprit que les attaquants automatisent la détection de ces vulnérabilités avec des outils qui intègrent des capacités d'intelligence artificielle, de sorte que les tentatives d'exploitation peuvent s'étendre rapidement. Tenir à jour un plan d'intervention comprenant des correctifs, des blocs de réseau temporaires, des analyses médico-légales si vous détectez l'engagement et la communication aux équipes d'intervention en cas d'incident. Pour une documentation technique supplémentaire sur l'ASLR et l'atténuation des opérations de mémoire, voir des sources générales telles que l'entrée de Wikipedia sur la randomisation de l'espace d'adresse dans https: / / fr.wikipedia.org / wiki / Adresse _ espace _ mise en page _ randomisation et le guide de sécurité NGINX https: / / nginx.org /.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...