NebSec のセキュリティエージェント「Vega」が 5 月 21 日、NGINX の最新安定版 1.31.0 を直撃する未修正のリモートコード実行 0-day「nginx-poolslip」を X 上で公開しました。NGINX の内部メモリプール処理を悪用し ASLR を回避するもので、認証なしでフルシステム侵害を許す重篤度です。NGINX は全世界 Web の 30-40% を支える基盤ソフトのため影響範囲が極めて広く、本記事執筆時点で F5 / NGINX 公式パッチも CVE も未発行となっています。
主なポイント
- 影響対象: NGINX 1.31.0 (現行 stable)。デフォルト構成で悪用可能とされる
- 攻撃手法: NGINX のメモリプール管理を悪用した ASLR バイパス ⇒ 任意コード実行。事前認証不要
- NebSec は 30 日の責任開示ポリシーを採用し、ASLR バイパスを含む詳細 write-up はパッチ公開後まで保留
- 公開時点ではミティゲーションも限定的。WAF / アクセス制限 / 旧バージョンへの一時的なロールバック検討が現実解
- 直近の NGINX rewrite モジュール 18 年バグ (DoS / 潜在 RCE) と合わせ、Web インフラ 2 連発の重大インシデント
出典: New NGINX 0-Day RCE "nginx-poolslip" Affects Millions of NGINX Servers