5 月 13 日に F5 と depthfirst が公表した NGINX の 18 年もの旧脆弱性『NGINX Rift』(CVE-2026-42945, CVSS v4 9.2) が、公開直後から実環境で悪用されていることを VulnCheck が報告しました。GitHub に PoC がアップされた後、攻撃者が未認証の HTTP リクエストで worker プロセスをクラッシュさせる事例が観測されています。
主なポイント
- 影響対象は NGINX 0.6.27 〜 1.30.0 (2008 年から潜伏)、NGINX Plus R32〜R36、Instance Manager、App Protect WAF、Gateway Fabric、Ingress Controller を含む F5 系プロダクト群
- VulnCheck の検証では、3 リクエストで複数 worker プロセスを同時にダウンさせ、5 連続のヘルスチェックのうち 4 回を失敗させることに成功
- RCE は ASLR 無効環境に限られるとの指摘もあり、Debian 系の一部や Docker 公式イメージなど default で ASLR 有効の環境では確実な RCE は難しいが、DoS は実用レベルで成立
- 公開された PoC 利用には脆弱な
rewrite⇒rewrite/if/set連鎖と PCRE 無名キャプチャ +?含み置換という構成条件があるが、攻撃者は ASN スキャンで該当エンドポイントを特定し始めている - F5 は NGINX 1.30.1 / 1.31.0、NGINX Plus R36 P2、Instance Manager 2.21.1 などにパッチを提供済み。即時更新が難しい場合は、無名キャプチャを名前付きキャプチャに置換する緩和策で攻撃面を断つ
出典: NGINX CVE-2026-42945 Exploited in the Wild, Causing Worker Crashes and Possible RCE