Volver al blog

Recientes vulnerabilidades de NGINX: Lo que los clientes necesitan saber sobre NGINX Rift y problemas relacionados

Donny Chong
Nexusguard
-
5 min de lectura
Compartir en:
En este artículo:

Durante la última semana, la industria de la ciberseguridad ha estado siguiendo de cerca varias vulnerabilidades de NGINX recién reveladas, la más notable CVE-2026-42945, comúnmente conocida como "NGINX Rift". Debido a la amplia implementación de NGINX en sitios web, API, proxies inversos, aplicaciones en la nube e infraestructura de borde a nivel mundial, la vulnerabilidad se ha convertido rápidamente en un motivo de gran preocupación para las organizaciones que operan servicios expuestos a Internet.

Junto con NGINX Rift, otra vulnerabilidad, CVE-2026-27654, también ha aparecido en avisos recientes. Si bien ambas vulnerabilidades afectan a distintas partes de la funcionalidad de NGINX, ambas subrayan la importancia de revisar las configuraciones expuestas y las características opcionales dentro de la infraestructura de acceso público.

Comprendiendo NGINX Rift (CVE-2026-42945)

NGINX Rift afecta principalmente a comportamientos específicos de reescritura de solicitudes dentro de NGINX. Los avisos públicos indican que la explotación requiere que exista simultáneamente una combinación particular de condiciones de configuración, incluyendo:

  • El uso de rewrite directivas con capturas de expresiones regulares sin nombre como $1 o $2
  • Cadenas de reemplazo que contengan el carácter ?
  • Directivas adicionales encadenadas de rewrite, if, o set directivas inmediatamente después de la regla de reescritura vulnerable

Bajo estas condiciones, las solicitudes especialmente diseñadas pueden desencadenar un comportamiento inseguro en el manejo de la memoria dentro del motor de procesamiento de reescritura de NGINX, lo que podría resultar en condiciones de denegación de servicio o, en ciertos entornos, en la ejecución remota de código.

Es importante destacar que el simple hecho de ejecutar NGINX no hace que una implementación sea vulnerable automáticamente. La explotabilidad depende en gran medida de si la lógica de reescritura y los patrones de configuración afectados están realmente en uso.

CVE-2026-27654: Exposición basada en WebDAV y Alias

Un segundo problema revelado recientemente, CVE-2026-27654, afecta a las implementaciones de NGINX que utilizan funcionalidades específicas relacionadas con WebDAV. A diferencia de NGINX Rift, esta vulnerabilidad requiere un conjunto más limitado de condiciones de implementación, que incluyen:

  • El ngx_http_dav_module módulo habilitado
  • Uso de COPY o MOVE métodos WebDAV
  • Uso de la directiva alias dentro de bloques de ubicación basados en prefijos

Bajo estas condiciones, las solicitudes malformadas pueden desencadenar un comportamiento inseguro de la memoria durante las operaciones de procesamiento de rutas.

Las organizaciones que no utilizan la funcionalidad WebDAV o aliaslas configuraciones basadas en alias generalmente no están expuestas a esta ruta de vulnerabilidad en particular.

Evaluación de Nexusguard

Tras una revisión y validación internas, Nexusguard ha confirmado que la implementación del motor WAF de Nexusguard no utiliza las configuraciones vulnerables de NGINX necesarias para la explotación de CVE-2026-42945 o CVE-2026-27654.

Específicamente:

  • El motor WAF de Nexusguard no se basa en el NGINX vulnerable rewrite patrones de directiva asociados con NGINX Rift
  • Capturas de reescritura regex sin nombre ($1, $2) utilizadas en la cadena de explotación divulgada no están presentes en la configuración del motor WAF
  • Las condiciones de reescritura encadenadas vulnerables necesarias para activar CVE-2026-42945 no existen
  • El motor WAF no utiliza alias-bloques de ubicación basados en asociados con CVE-2026-27654
  • Los patrones de configuración de WebDAV afectados necesarios para la explotación no se utilizan en la implementación

Como resultado, las condiciones subyacentes necesarias para la explotación no están presentes en el entorno del motor WAF de Nexusguard.

Soporte de parcheo virtual para clientes

Además de la validación interna, los ingenieros de Nexusguard han preparado un parche virtual para su implementación a través de la plataforma WAF de Nexusguard para ayudar a proteger los entornos de los clientes que puedan verse afectados por NGINX Rift (CVE-2026-42945).

El parche virtual está diseñado para ayudar a detectar y bloquear patrones de solicitudes maliciosas asociados con intentos de explotación conocidos que apuntan a la vulnerabilidad. Esto proporciona a los clientes una capa adicional de protección mientras revisan y corrigen las configuraciones de NGINX afectadas dentro de sus propios entornos.

Se anima a los clientes y socios que crean que pueden estar afectados, o que deseen asistencia para evaluar su exposición, a ponerse en contacto con su representante de Nexusguard o con el equipo de Operaciones de Seguridad de Nexusguard para obtener orientación y soporte de implementación.

Acciones recomendadas para clientes y socios

Nexusguard recomienda que las organizaciones:

  • Revisar implementaciones de NGINX expuestas públicamente
  • Auditar el uso de reglas de reescritura, especialmente las capturas sin nombre ($1, $2)
  • Revisar la exposición de WebDAV y módulos opcionales
  • Eliminar funcionalidades innecesarias o heredadas si es posible
  • Aplicar las actualizaciones recomendadas por el proveedor y las guías de endurecimiento de seguridad
  • Monitorear solicitudes HTTP malformadas y comportamientos de escaneo inusuales

Las organizaciones que utilizan los servicios gestionados de Nexusguard pueden ponerse en contacto con Nexusguard para obtener orientación operativa adicional o asistencia para revisar su postura de exposición actual.

Consideraciones finales

Vulnerabilidades recientes de NGINX, como NGINX Rift, demuestran cómo las vulnerabilidades de la infraestructura moderna dependen cada vez más de la configuración de implementación y la funcionalidad expuesta, y no solo de la presencia del software. Las organizaciones deben seguir revisando cuidadosamente la infraestructura expuesta públicamente y asegurarse de que las características, módulos y configuraciones heredadas innecesarias se eliminen siempre que sea posible.

Nexusguard sigue monitoreando activamente la evolución de estas vulnerabilidades y proporcionará orientación adicional cuando sea necesario.

(Imagen: Gemini)

Proteja su infraestructura hoy

Explore hoy mismo las soluciones de protección perimetral de Nexusguard
Iniciar conversación

Artículos relacionados

Communications Service Provider,DDoS Protection,cleanpipe
8 min read

Can “cleanpipe” really deliver clean traffic?

Nexusguard’s research findings​ reveal that communications service providers (CSPs) are increasingly abused by perpetrators as a tunnel to direct DDoS attacks to their downstream networks. This new breed of attacks are carried out in a stealthy way that they can easily bypass detection. Faced with evolving DDoS attack patterns and tactics that are more difficult to detect and mitigate, service providers are presented with a dilemma. Should they just pass on the attack traffic, knowingly or unknowingly, to the victim customer?
Ver detalles
Cybersecurity,Managed Security Service Provider,Nexusguard Partner Program,TAP
8 min read

Safeguarding Telecommunications Industry by Providing CSPs Cost-Effective Access to Cybersecurity Protection

Even while acknowledging a growing demand for DDoS protection for customers, most CSPs have little to no expertise in handling DDoS attacks, let alone the knowledge of running DDoS mitigation as a business. Providing cost-effective access to cybersecurity protection is the way forward to help CSPs overcome these challenges. Read the article to learn more.
Ver detalles
Blackhole,Communications Service Provider,DDoS,SSDP,cloud service providers
8 min read

New tricks with old methods

In Q4 2018, 50% more ASNs suffered from a new type of stealthy network attacks carried out in a piecemeal fashion.
Ver detalles