Nginx Web 服务器中的一个新的零日漏洞已公开披露,允许在易受攻击的系统上远程执行代码。
根据其项目网站,nginx 是一个开源的 HTTP 和反向代理服务器、邮件代理服务器,以及在 2-clause 类 BSD 许可下发布的通用 TCP/UDP 代理服务器。根据 Netcraft 的数据,2018 年 10 月,nginx 服务或代理了 25.28% 最繁忙的网站。以下是一些成功案例:Dropbox、Netflix、WordPress.com、FastMail.FM。
在 nginx LDAP-auth 守护进程实现中发现了一个 nginx 零日 RCE 问题,该问题被 短暂泄露。Twitter 用户@_Blue_hornet分享了有关此漏洞的一些信息。
nginx 零日 RCE 漏洞影响 nginx 18.1。根据AgainstTheWest Github 存储库,此错误与 nginx 中的 LDAP-auth 守护程序有关。
更新1:
随着一些进一步的分析正在进行中,与 nginx 中的 LDAP-auth 守护进程相关的模块受到很大影响。😉 任何涉及 LDAP 可选登录的东西都可以。这包括 Atlassian 帐户。只是想知道我们是否可以绕过一些常见的 WAF。默认 nginx 配置似乎是易受攻击的类型,或常见配置。
我们强烈建议禁用该 ldapDaemon.enabled 属性。如果您打算设置它,请务必 ldapDaemon.ldapConfig 使用正确的信息更改属性标志,并且不要将其保留为默认值。这可以更改,直到 Nginx(他妈的)回复他们的电子邮件和 DM。
更新 2:
一直在与一些信息安全人员讨论这个问题,一些反应不一。有人说这是 LDAP 本身的问题,而不是 Nginx 的问题,但 ldapDaemon 并不总是使用。确切的引用是“CI/CD 管道强化实例,其中一个步骤是完全剥离 LDAP 模块。”。这是部分正确的。其实在编译nginx的时候是一个选项。但是,这可能是 LDAP 本身的问题。
问题在于它仅适用于使用 LDAP 的 nginx 实例,例如任何提供该身份验证方法的登录门户。
需要进一步的分析和测试。看起来只会影响这个版本。如果它影响 LDAP 协议的更新版本,那么我们将看到它的结果。
更新 3:
我(因为我仍然在 ATW,但我只是在线的唯一一个)已通过电子邮件将我们自己的问题、社区关注、进一步的测试问题转发给 BrazenEagle。他们还没有回应,因为他们是美国的。希望他们能提供一些进一步的答案。不应该泄露它,但他们的主要联系电子邮件是brazeneagle@riseup.net(呃!)。
虽然我仍然对这个问题的运作方式持怀疑态度,但它可以解释在使用 BrazenEagle 进行测试期间不到一个小时就被攻破的公司。他们表示他们已经将这个漏洞传递给我们,因为他们“正在研究更有利可图的漏洞”。这意味着什么,我不太确定。
几个月前,一些人(显然)通过 Telegram 聊天被告知这正在工作中,这可能是一些 Twitter 信息安全人员正在谈论它和 ATW。