Исследователи из VulnCheck зафиксировали активную эксплуатацию CVE-2026-42945 — критической уязвимости в NGINX с оценкой 9.2 по CVSS. Баг нашёл ИИ-агент стартапа Depthfirst — за шесть часов. Восемнадцать лет эта ошибка спокойно жила в продакшн-коде одного из самых распространённых веб-серверов планеты.
Контекст
NGINX — это веб-сервер и обратный прокси, который стоит за огромной долей мирового HTTP-трафика. По данным Censys, около 5,7 млн серверов в интернете работают на потенциально уязвимых версиях. Это не абстрактная цифра — это реальные сайты, API, панели управления, точки входа в корпоративные системы.
Уязвимость находится в модуле ngx_http_rewrite_module, который отвечает за перезапись URL. Переполнение буфера через специально сформированный HTTP-запрос — без какой-либо аутентификации. Минимум — крашится рабочий процесс сервера. Максимум — удалённое выполнение произвольного кода. Затронуты оба продукта: NGINX Open Source и NGINX Plus.
F5, которая поддерживает NGINX, выпустила патчи. Но в тот же день появился публичный PoC-эксплойт. Это сломало классическую схему «сначала патч, потом детали»: злоумышленники читают патчноуты быстро — администраторы не всегда успевают за ними.
Аналитика
История Depthfirst — демонстрация нового вектора: AI-assisted vulnerability research. Шесть часов против восемнадцати лет. Баг не был хитро спрятан — просто никто целенаправленно не искал. ИИ-агент прошёлся по коду методично и нашёл то, что десятилетиями пропускали люди при ревью и аудитах.
Это меняет уравнение для обеих сторон. Нападение дешевеет: автоматизированный поиск уязвимостей становится доступнее, а время от «обнаружения» до «эксплуатации» сокращается до дней. Но те же инструменты доступны и для защитников. Вопрос в том, кто первым встроит их в рабочий процесс.
Исследователь Кевин Бомонт указал важное смягчающее обстоятельство: современные Linux-дистрибутивы запускают NGINX с ASLR (Address Space Layout Randomization), что делает удалённое выполнение кода крайне затруднённым. Для реального RCE нужна редкая комбинация: специфическая rewrite-конфигурация + отключённый ASLR + знание этой конфигурации атакующим. Массовой катастрофы нет. Но DoS через краш процесса — реальный вектор давления на сервисы уже сейчас.
Кейсы применения в бизнесе
B2B SaaS стартап с собственной инфраструктурой. Если продакшн стоит на NGINX — обновление сегодня, без отсрочки на следующий спринт. Параллельно стоит добавить в CI/CD-пайплайн автоматическое сканирование образов на уязвимые зависимости: инструменты типа trivy или grype запускаются в пайплайне и блокируют деплой, если обнаружена критическая CVE. При следующем подобном инциденте это сэкономит часы реакции.
Корпорация с legacy-инфраструктурой. Часть серверов, скорее всего, обновляется вручную и нерегулярно. Используйте этот инцидент как повод провести аудит всех публично доступных сервисов. Censys или Shodan дают быстрый срез — что торчит наружу и на каких версиях. Это не разовая мера: такой аудит стоит делать регулярно.
SMB и малый бизнес в КР/СНГ. Если сайт или приложение хостится на shared-хостинге — проверьте у провайдера, обновился ли NGINX. Большинство хостингов реагируют на критические CVE в течение нескольких дней. Если провайдер молчит — напишите в поддержку, сославшись на CVE-2026-42945. Это ваше право как клиента, и обычно это работает быстро.
Кейсы в личной жизни
Разработчик с VPS. Если деплоите пет-проекты или фриланс-работы на собственном сервере — проверьте версию командой nginx -v и сравните с актуальной. Обновить через пакетный менеджер — вопрос нескольких минут. Заодно проверьте, что ASLR включён: cat /proc/sys/kernel/randomize_va_space должен вернуть 2.
Контент-мейкер или стример. Многие используют собственные медиа- или стриминговые серверы на базе NGINX. Уязвимость затрагивает модуль rewrite, но любой критический патч — хороший повод провести общее обновление сервера. Один apt upgrade закрывает сразу несколько потенциальных проблем.
Студент или начинающий исследователь безопасности. История Depthfirst — отличный практический кейс. Попробуйте разобрать публичный PoC и понять, как именно работает уязвимость переполнения буфера в модуле rewrite. Это ценнее большинства теоретических курсов по безопасности: реальный баг, реальный контекст, реальные последствия.
Как применить сегодня
- Обновите NGINX:
apt upgrade nginxили аналог для вашего дистрибутива — прямо сейчас. - Проверьте ASLR:
cat /proc/sys/kernel/randomize_va_space— значение должно быть 2. - Запустите Censys или Shodan по своим IP-диапазонам: что торчит наружу и на каких версиях.
- Добавьте в CI/CD сканирование образов на уязвимые зависимости (trivy, grype, snyk).
- При CVSS 9+ — действуйте в день публикации, не ждите следующего спринта или планового окна обслуживания.