安全分析师称 NGINX 近期爆出的高危漏洞是 AI 制造的焦虑,因为实际匹配成功的配置极少。该分析师从 GitHub上抓取 4,000 份公开的 NGINX 配置文件,发现受漏洞影响的配置数为 0——大多数网站并不需要在 rewrite 中进行规则匹配。不过我们自己扫描了 699 份配置文件,其中成功匹配漏洞的有 44 个,占比 6.3%,从这个角度看,真正受影响的实例并不少,使用 NGINX 的用户还是得尽早升级。
4,000 样本竟然受影响的为 0:
安全分析师 @XorNinja 发布消息称,其所在公司从 GitHub 获取近 4,000 份公开的 NGINX 配置文件并进行分析,结果表明这些样本里受 NGINX RIFT 漏洞影响的为 0,即所有样本都没有匹配到漏洞触发的先决条件。该分析师认为,这个漏洞由 AI 发现并制造了安全焦虑,但同样也可以使用 AI 分析公开样本来对抗这种焦虑。
不过,现实世界中确实已有黑客利用该漏洞发起攻击。观测数据显示,公网暴露且运行受影响版本 NGINX 的实例多达 557 万台,其中确切受漏洞影响的比例尚不清楚。既然攻击已在发生,用户升级到不受影响的版本仍然十分必要。
蓝点网扫描结果显示匹配漏洞的实例并不少:
看到安全分析师的分析后,我们也从 GitHub 抓取 699 份公开的 NGINX 配置文件,扫描结果显示成功匹配漏洞模式的有 44 个,占比 6.3%。这些受影响的实例均使用了 rewrite + $1 + ? 进行规则匹配,因此能被利用。而这一模式恰好满足漏洞被触发的先决条件,属于典型的 远程代码执行 风险路径。
对受影响配置文件所属仓库的分析显示,这些仓库主要集中在 CMS 系统、医疗系统和 Docker 镜像,最常见的模式是连续的 rewrite 规则做 URL 路由(PHP 框架入口转发),其中一条 rewrite 替换包含 ?,且后面紧跟另一条 rewrite 或 if。
换句话说,真实受影响的 NGINX 实例很可能远非个例,尤其是那些使用 CMS 并按照官方配置指南开启重写规则的站点,影响面可能更大。所以,还是那句话:尽早升级以避免潜在攻击。已修复漏洞的版本为 NGINX 1.30.1 和 1.31.0,升级到这两个版本即可规避风险。
更多技术安全动态与深入讨论,欢迎访问云栈社区。 | 
发表于 1 小时前
|
查看: 4|
回复: 0
