Uma vulnerabilidade de dia zero recentemente divulgada em NGINX Plus e NGINX Open, identificada como CVE-2026-42945, está sendo explorada ativamente no ambiente real apenas dias após sua publicação, segundo relatórios de pesquisadores. Trata-se de um transbordamento de búfer em pilha (heap buffer overflow) No módulo ngx_http_rewrite_module, atribuível a código que, segundo análise forense, foi introduzido há anos e afeta uma ampla gama de versões históricas da NGINX. O risco é considerado alto (CVSS ~9.x) porque um atacante não autenticado pode provocar a queda de processos worker e, mesmo em situações concretas, chegar a execução remota de código.
É importante distinguir dois cenários técnicos que definem a gravidade prática: por um lado existe uma condição de recusa de serviço (DoS) fiável ao forçar a falha dos workers; por outro, a execução remota do código (RCE) É teoricamente possível, mas exige condições adicionais — em particular, que ASLR (Address Space Layout Randomization) está desactivado — e que o atacante conheça ou descubra uma configuração concreta de NGINX que faça exploitável o módulo de reescritas. Em ambientes modernos e bem configurados, ASLR é geralmente ativo por defeito, o que complica converter o overflow em um exploit estável, embora não o impossibilita.
As consequências práticas variam de acordo com a implantação: para servidores públicos, a capacidade de reinício contínuo de workers pode degradar serviços e abrir janelas para ataques posteriores; para infra-estruturas geridas com ferramentas de automação ou contentores, a combinação desta falha com deficiências de configuração externa (por exemplo, controlos de acesso insuficientes) pode facilitar movimentos laterais e persistência. Além disso, pesquisadores observaram que atores começaram a digitalizar e explorar instalações vulneráveis, o que converte o achado em uma prioridade operacional para administradores.
Paralelamente, a mesma equipa de investigação detectou exploração contra openDCIM, uma aplicação open source para gestão de infra-estruturas de centro de dados, onde foram identificadas várias falhas críticas que podem ser encadeadas até obter RCE em poucos passos. Se a sua organização usar openDCIM, verifique imediatamente o código e implantação; o projeto está disponível no GitHub em https://github.com/samilliken/openDCIM, e convém comparar a versão em uso com adesivos publicados por mantenedores ou mitigações temporárias.
Para priorizar a resposta técnica, comece por aplicar sistemas oficiais Quanto estiverem disponíveis para a sua variante de NGINX. F5, que mantém a NGINX desde sua aquisição, publica avisos e adesivos; também é aconselhável rever a base de dados de vulnerabilidades públicas na NVD para referências cruzadas e detalhes do CVE em https://nvd.nist.gov/. Se não for possível corrigir imediatamente, aplique mitigações como restringir o acesso às instâncias afetadas da Internet, aplique regras WAF para bloquear padrões de petição suspeitos ao módulo de reescrita e isolar sistemas críticos.
Verifique e reforce a proteção de memória do sistema: verifique o estado de ASLR com o comando do kernel (por exemplo, sysctl kernel.randomize_va_ space) e, se por alguma razão está desactivado em sistemas de produção, habilítelo com sysctl - w kernel.randomize_va_ space=2. Embora a opção ASLR não substitui o adesivo, reduz significativamente a probabilidade de exploração bem-sucedida que converta o overflow em execução de código.
Audite configurações de NGINX procurando regras complexas em ngx_http_rewrite_module e padrões pouco habituais que possam ser alvo de petições manipuladas; o exploit requer conhecer ou descobrir a configuração vulnerável, pelo que uma revisão e simplificação de regras de reescrita pode mitigar o risco. Também monitorize logs de acesso e erros para detectar pedidos incomuns voltados para endpoints de reescrita e sinais de tentativas de carga de shells web ou comandos remotos.
No caso de openDCIM e aplicativos web semelhantes, aplique o princípio de menor privilégio: limite o acesso administrativo a redes de gestão, desactive variáveis de ambiente como REMOTE_USER sem controles de autenticação em ambientes Docker, e valide ou sanee exaustivamente parâmetros que possam ser passados a sistemas ou comandos, como o parâmetro “dot” identificado nas pesquisas. A auditoria de integridade de ficheiros e o controlo de saída cessante (e.g., ligações reversas) ajudam a detectar web shells precocemente.
Por fim, tenha em conta que os atacantes estão a permitir a detecção dessas vulnerabilidades com ferramentas que incorporam capacidades de inteligência artificial, pelo que as tentativas de exploração podem rapidamente escalar. Mantenha um plano de resposta que inclua adesivos, bloqueios de rede temporária, análise forense se detectar compromisso e comunicação a equipamentos de impacto response. Para documentação técnica adicional sobre ASLR e mitigações de exploração de memória consulte fontes gerais como a entrada da Wikipédia sobre Address Space Layout Randomization em https://en.wikipedia.org/wiki/Address_ space_layout_randomization e o guia de segurança da NGINX https://nginx.org/.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...