NGINX Rift: Vulnerabilidade Crítica de 16 Anos é Explorada Ativamente por Criminosos

Lead

Menos de uma semana após o anúncio público de um protótipo de exploração, a vulnerabilidade crítica CVE-2026-42945, apelidada de "Nginx Rift", já está sendo acionada ativamente por criminosos em ambientes de produção. A brecha afeta servidores NGINX globalmente e permite que invasores executem código remoto ou derrubem aplicações web sem qualquer autenticação.

Contexto da Falha

A CVE-2026-42945 é um transbordamento de buffer na memória do módulo de reescrita (rewrite) do NGINX, um dos servidores web mais utilizados na internet. O componente afetado utiliza um mecanismo de duas fases para calcular e alocar espaço em memória: primeiro avalia o tamanho necessário, depois copia os dados. Neste intervalo, modificações no estado interno do sistema permitem que dados maliciosos sejam escritos além dos limites da área alocada, comprometendo a integridade e segurança do servidor.

O que torna esta descoberta especialmente alarmante é que a falha permaneceu dormida no código durante mais de 16 anos, afetando todas as versões do NGINX desde 0.6.27 até 1.30.0. Esta longevidade demonstra como vulnerabilidades podem permanecer ocultas mesmo em componentes amplamente auditados, impactando milhões de instalações simultaneamente quando reveladas.

Alcance e Severidade

Estimativas indicam que aproximadamente 5,7 milhões de servidores NGINX estão potencialmente expostos em todo o mundo. A vulnerabilidade recebeu uma pontuação CVSS de 9.2 (Crítica), permitindo tanto ataques de negação de serviço, que reiniciam servidores ou derrubam aplicações, quanto execução remota de código quando defesas como ASLR (Address Space Layout Randomization) estão desabilitadas. Para muitos ambientes corporativos, qualquer uma dessas consequências resulta em indisponibilidade do serviço e possível comprometimento de dados.

A exploração começou rapidamente: o código de prova de conceito foi divulgado em meados de maio, e apenas dias depois, rastreadores de ameaças já documentavam campanhas ativas em ambientes reais. A velocidade de adoção indica que criminosos cibernéticos mapearam a brecha imediatamente e a incorporaram em seus arsenais de ataque.

Recomendações Urgentes

A F5 (proprietária do NGINX) lançou atualizações de segurança imediatamente após a divulgação. Administradores de infraestrutura devem priorizar a aplicação de patches em todos os servidores NGINX em operação, particularmente aqueles que atendem aplicações críticas ou dados sensíveis. Paralelo à atualização, equipes de segurança devem analisar logs de acesso e monitorar sinais de tentativas de exploração.

Para organizações que não conseguem atualizar imediatamente, implementar WAF (Web Application Firewall) com regras específicas para esta CVE pode fornecer proteção temporária, embora não substitua a correção permanente no servidor.

Fonte: TecMundo — https://www.tecmundo.com.br/seguranca/413241-falha-critica-no-nginx-e-explorada-por-criminosos-dias-apos-descoberta.htm