Vulnerabilidades Recentes do NGINX: O Que os Clientes Precisam Saber Sobre o NGINX Rift e Problemas Relacionados

Na última semana, a indústria de cibersegurança tem monitorado de perto várias vulnerabilidades NGINX recém-divulgadas, mais notavelmente a CVE-2026-42945, comumente referida como “NGINX Rift”. Devido à ampla implantação do NGINX em websites, APIs, proxies reversos, aplicações em nuvem e infraestrutura de borda globalmente, a vulnerabilidade rapidamente se tornou um grande motivo de preocupação para organizações que operam serviços expostos à internet.

‍

Juntamente com o NGINX Rift, outra vulnerabilidade, CVE-2026-27654, também surgiu em avisos recentes. Embora as duas vulnerabilidades afetem diferentes partes da funcionalidade do NGINX, ambas destacam a importância de revisar configurações expostas e recursos opcionais dentro de infraestruturas publicamente acessíveis.

Compreendendo o NGINX Rift (CVE-2026-42945)

O NGINX Rift afeta principalmente comportamentos específicos de reescrita de requisições dentro do NGINX. Avisos públicos indicam que a exploração requer uma combinação particular de condições de configuração que existam simultaneamente, incluindo:

• O uso de rewrite diretivas com capturas de regex sem nome, como $1 ou $2
• Strings de substituição contendo o ? caractere
• Encadeamento adicional de rewrite, if, ou set diretivas imediatamente após a regra de reescrita vulnerável

Nestas condições, requisições especialmente elaboradas podem desencadear um comportamento inseguro de manipulação de memória dentro do motor de processamento de reescrita do NGINX, potencialmente resultando em condições de negação de serviço ou, em certos ambientes, execução remota de código.

‍

É importante notar que simplesmente executar o NGINX não torna automaticamente uma implantação vulnerável. A explorabilidade depende muito de se a lógica de reescrita afetada e os padrões de configuração estão realmente em uso.

CVE-2026-27654: Exposição Baseada em WebDAV e Alias

Um segundo problema recentemente divulgado, CVE-2026-27654, afeta implantações NGINX que utilizam funcionalidades específicas relacionadas ao WebDAV. Ao contrário do NGINX Rift, esta vulnerabilidade exige um conjunto mais restrito de condições de implantação, incluindo:

• O ngx_http_dav_module módulo estar ativado
• Uso de COPY ou MOVE métodos WebDAV
• Uso da diretiva alias dentro de blocos de localização baseados em prefixo

Nestas condições, requisições malformadas podem desencadear um comportamento inseguro de memória durante operações de processamento de caminho.

‍

Organizações que não utilizam funcionalidade WebDAV ou alias-based configurations geralmente não estão expostas a este caminho de vulnerabilidade específico.

Avaliação Nexusguard

Após revisão e validação internas, a Nexusguard confirmou que a implementação do motor WAF da Nexusguard não utiliza as configurações NGINX vulneráveis necessárias para a exploração de CVE-2026-42945 ou CVE-2026-27654.

‍

Especificamente:

• O motor WAF da Nexusguard não utiliza os padrões de diretiva NGINX vulneráveis de rewrite associados ao NGINX Rift
• Capturas de reescrita de regex sem nome ($1, $2) utilizadas na cadeia de exploração divulgada não estão presentes na configuração do motor WAF
• As condições de reescrita encadeadas vulneráveis necessárias para acionar CVE-2026-42945 não existem
• O motor WAF não utiliza blocos de localização baseados em aliasassociados a CVE-2026-27654
• Os padrões de configuração WebDAV afetados necessários para a exploração não são utilizados na implementação

Como resultado, as condições subjacentes necessárias para a exploração não estão presentes no ambiente do motor WAF da Nexusguard.

Suporte a Patching Virtual para Clientes

Além da validação interna, os engenheiros da Nexusguard prepararam um patch virtual para implementação através da plataforma WAF da Nexusguard para ajudar a proteger ambientes de clientes que possam ser afetados pelo NGINX Rift (CVE-2026-42945).

‍

O patch virtual foi projetado para ajudar a detectar e bloquear padrões de requisição maliciosos associados a tentativas de exploração conhecidas que visam a vulnerabilidade. Isso oferece aos clientes uma camada adicional de proteção enquanto eles revisam e corrigem as configurações NGINX afetadas em seus próprios ambientes.

‍

Clientes e parceiros que acreditam poder estar afetados, ou que gostariam de assistência para avaliar sua exposição, são encorajados a contatar seu representante Nexusguard ou a equipe de Operações de Segurança da Nexusguard para orientação e suporte de implantação.

Ações Recomendadas para Clientes e Parceiros

A Nexusguard recomenda que as organizações:

• Revisar implantações NGINX expostas publicamente
• Auditar o uso de regras de reescrita, especialmente capturas sem nome ($1, $2)
• Revisar a exposição de WebDAV e módulos opcionais
• Remover funcionalidades desnecessárias ou legadas sempre que possível
• Aplicar atualizações recomendadas pelo fornecedor e orientações de segurança
• Monitorar requisições HTTP malformadas e comportamento de varredura incomum

Organizações que utilizam serviços gerenciados pela Nexusguard podem contatar a Nexusguard para orientação operacional adicional ou assistência na revisão de sua postura de exposição atual.

Considerações Finais

Vulnerabilidades recentes do NGINX, como o NGINX Rift, demonstram como as vulnerabilidades de infraestrutura modernas dependem cada vez mais da configuração de implantação e da funcionalidade exposta, e não apenas da presença do software. As organizações devem continuar revisando cuidadosamente a infraestrutura exposta publicamente e garantir que recursos desnecessários, módulos e configurações legadas sejam removidos sempre que possível.

‍

A Nexusguard continua a monitorizar ativamente os desenvolvimentos em curso relacionados com estas vulnerabilidades e fornecerá orientações adicionais sempre que necessário.

(Imagem: Gemini)