Zero-day “nginx-poolslip” đe dọa hàng triệu máy chủ NGINX toàn cầu

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
141
1.914 bài viết
Zero-day “nginx-poolslip” đe dọa hàng triệu máy chủ NGINX toàn cầu
WhiteHat Team
Một lỗ hổng zero-day mới mang tên “nginx-poolslip” vừa được công bố đang khiến cộng đồng an ninh mạng toàn cầu đặc biệt lo ngại khi ảnh hưởng trực tiếp tới NGINX 1.31.0, phiên bản stable mới nhất của nền tảng web server phổ biến bậc nhất thế giới. Đáng chú ý, đây cũng chính là phiên bản mà hàng loạt doanh nghiệp vừa gấp rút nâng cấp cách đây không lâu để vá một lỗ hổng nghiêm trọng khác trong NGINX, khiến nhiều tổ chức rơi vào tình huống "dở khóc, dở cười"
anh bai nginx.png

Thông tin được nhà nghiên cứu Vega thuộc nhóm NebSec công bố ngày 21/5/2026. Theo mô tả ban đầu, lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống mục tiêu mà không cần xác thực, từ đó mở ra nguy cơ chiếm toàn quyền điều khiển máy chủ bị ảnh hưởng. Khi bị khai thác kẻ tấn công, có thể kiểm soát reverse proxy, API gateway hoặc load balancer, vốn là những thành phần nằm ở lớp giao tiếp trọng yếu của hạ tầng mạng doanh nghiệp.

Khác với các lỗi cấu hình thông thường, “nginx-poolslip” tác động trực tiếp tới cơ chế quản lý memory pool nội bộ của NGINX. Đây là thành phần chịu trách nhiệm cấp phát và tái sử dụng bộ nhớ nhằm tối ưu hiệu năng xử lý request HTTP. Việc khai thác vào lớp quản lý bộ nhớ cấp thấp khiến lỗ hổng trở nên đặc biệt nguy hiểm bởi nó diễn ra ngay trong lõi vận hành của web server, nơi các cơ chế bảo vệ thông thường rất khó phát hiện dấu hiệu bất thường.
Theo NebSec, kỹ thuật khai thác mới còn có khả năng vượt qua ASLR, cơ chế bảo vệ cấp hệ điều hành được thiết kế nhằm ngăn chặn các cuộc tấn công khai thác lỗi bộ nhớ. Bằng cách vô hiệu hóa lá chắn này, kẻ tấn công có thể tối ưu hóa mã khai thác đạt độ ổn định tuyệt đối, dễ dàng làm chủ hệ thống từ xa thay vì chỉ dừng lại ở việc gây sập tiến trình. Vì vậy, nhiều chuyên gia đánh giá “nginx-poolslip” nguy hiểm hơn nhiều so với các lỗ hổng RCE thông thường.
“nginx-poolslip” xuất hiện ngay sau khi cộng đồng công nghệ vừa dốc lực xử lý “NGINX Rift” mã CVE-2026-42945. Đây là lỗ hổng tràn bộ đệm ẩn mình suốt 18 năm trong module ngx_http_rewrite_module với điểm số CVSS v4 đạt 9.2. Lỗ hổng cũ này từng đe dọa trực tiếp 5,7 triệu máy chủ công khai trên Internet, buộc F5 phải phát hành bản vá khẩn cấp thông qua các phiên bản NGINX Open Source 1.31.0 và 1.30.1 nhằm chặn đứng làn sóng khai thác diện rộng.

Nghiên cứu mới của NebSec khẳng định, bản vá do F5 phát hành để khắc phục lỗi “NGINX Rift” mới dừng lại ở việc xử lý phần ngọn mà chưa triệt tiêu gốc rễ nguy cơ hỏng bộ nhớ ở cấp pool. Chính sự thiếu toàn diện này đã khiến NGINX 1.31.0, phiên bản vốn được các tổ chức tin dùng như một giải pháp an toàn nhất ở thời điểm hiện tại, vô tình tiếp tục trở thành mục tiêu khai thác tiềm năng của lỗ hổng “nginx-poolslip”.

Theo thống kê, NGINX hiện vận hành khoảng 30 đến 40% hạ tầng web toàn cầu và xuất hiện trong hàng loạt website lưu lượng lớn, hệ thống tài chính, nền tảng cloud, CDN cùng dịch vụ doanh nghiệp. Do NGINX thường đóng vai trò tuyến đầu tiếp nhận traffic Internet nên bất kỳ lỗ hổng RCE nào xuất hiện trong nền tảng này đều có thể nhanh chóng trở thành mục tiêu khai thác quy mô lớn, đặc biệt khi mã khai thác công khai bắt đầu xuất hiện ngoài thực tế.

Tính đến thời điểm hiện tại, chưa có mã CVE chính thức được cấp cho “nginx-poolslip”. Đồng thời, F5 cũng chưa phát hành bản vá khắc phục. NebSec cho biết nhóm đang tuân thủ quy trình công bố có trách nhiệm trong vòng 30 ngày và sẽ chưa công khai chi tiết kỹ thuật khai thác, bao gồm phương pháp bypass ASLR, cho tới khi có bản vá chính thức nhằm hạn chế nguy cơ bị lợi dụng ngoài thực tế.

Trong thời gian chờ khắc phục, các quản trị viên cần theo dõi sát các advisory bảo mật từ F5 và NebSec. Bên cạnh đó, các tổ chức nên chủ động giảm bề mặt tấn công bằng cách hạn chế public các giao diện quản trị NGINX, triển khai WAF và rà soát các cấu hình rewrite, if, set sử dụng unnamed PCRE capture groups, yếu tố được cho là liên quan trực tiếp tới điều kiện khai thác lỗi. Ngoài ra, việc đảm bảo ASLR được bật đầy đủ trên hệ thống (/proc/sys/kernel/randomize_va_space = 2) có thể giúp giảm bớt mức độ ảnh hưởng trong một số kịch bản nhất định, dù chưa thể được xem là biện pháp phòng vệ tuyệt đối.

Trước phạm vi ảnh hưởng sâu rộng của NGINX trong cấu trúc Internet hiện đại, diễn biến xử lý sự cố này đang thu hút sự quan tâm đặc biệt từ giới chuyên gia bảo mật. Nhằm chủ động ứng phó ngay khi bản cập nhật chính thức được phát hành, nhiều tổ chức lớn đã rà soát, đánh giá lại mức độ phơi nhiễm của các hệ thống tiếp xúc trực tiếp với Internet, đồng thời chuẩn bị sẵn sàng các quy trình kích hoạt vá lỗi khẩn cấp.​
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lộ zero-day nghiêm trọng trên Windows, máy cập nhật đầy đủ vẫn có thể bị hack
  • Cảnh báo: Chuỗi lỗ hổng Zero-day đe dọa lớp phòng vệ BitLocker trên Windows
  • Ollama dính lỗ hổng zero-day nghiêm trọng gây rò rỉ bộ nhớ hệ thống
  • Nhiều lỗ hổng zero-day trong Microsoft Defender bị khai thác ngoài thực tế
  • Patch Tuesday tháng 4/2026: Vá hơn 160 lỗ hổng, xuất hiện zero-day bị khai thác
  • Zero-day trong Adobe Reader: Mở file PDF cũng có thể bị chiếm quyền hệ thống
    • Thẻ
    nginx nginx-poolslip
    Bên trên