Startsida Teknologi Kritisk NGINX-bugg utnyttjas just nu: Så kontrollerar du om din...

Kritisk NGINX-bugg utnyttjas just nu: Så kontrollerar du om din webbsida är drabbad

Kritisk NGINX-bugg utnyttjas just nu: Så kontrollerar du om din webbsida är drabbad
Levererat av Teksajten

En 18 år gammal bugg i NGINX gör 5,7 miljoner servrar potentiellt sårbara, och angreppen har redan börjat.

Säkerhetsforskare upptäckte de första exploit-försöken bara tre dagar efter att uppgifterna om sårbarheten blev offentliga. Buggen finns i en av webbens mest spridda servrar och kan i vissa fall ge angripare full kontroll över en webbplats.

Bristen har fått smeknamnet NGINX Rift och listas som CVE-2026-42945 med en CVSS-poäng på 9,2, vilket placerar den i kategorin kritisk. NGINX driver omkring en tredjedel av alla webbplatser globalt, vilket förklarar varför säkerhetsbranschen reagerat så snabbt.

Vem är drabbad

Sårbarheten finns i modulen ngx_http_rewrite_module och beror på en så kallad heap buffer overflow, en typ av minnesfel där programmet skriver data utanför det utrymme det har tilldelats. Det officiella rådet från NGINX:s utgivare anger att alla versioner mellan 0.6.27 och 1.30.0 är sårbara, oavsett om det rör sig om gratisversionen NGINX Open Source eller den kommersiella NGINX Plus.

Versionsspannet täcker i praktiken nära nog samtliga utgåvor under de senaste 18 åren. Det betyder att även mycket gamla installationer är i riskzonen.

Inte alla servrar i intervallet är omedelbart exploaterbara. Buggen utlöses bara om webbservern använder en specifik kombination av regler för omskrivning av URL:er, och VulnCheck pekar på att den verkligt sårbara gruppen sannolikt är betydligt mindre än de 5,7 miljoner exponerade servrar deras Censys-sökning identifierar.

Så kontrollerar du din version

För icke-utvecklare som driver en webbplats finns det två vanliga vägar.

Har du ett vanligt webbhotell hos en svensk eller utländsk leverantör så kör de troligen NGINX i bakgrunden. Kontakta supporten och fråga rakt ut: ”Vilken version av NGINX kör ni, och har ni patchat för CVE-2026-42945?” Seriösa leverantörer bör kunna svara samma dag.

Driver du en egen server, till exempel en VPS, kan du logga in via SSH och köra kommandot nginx -v. Det skriver ut versionsnumret. Om numret hamnar mellan 0.6.27 och 1.30.0 är din server potentiellt sårbar.

Åtgärden, så snabbt som möjligt

Patchade versioner finns tillgängliga. Enligt utgivaren är 1.30.1 och 1.31.0 inte sårbara, och stora Linux-distributioner som AlmaLinux, Ubuntu och Debian har redan publicerat uppdaterade paket. AlmaLinux skickade ut sina patchade paket redan den 14 maj, dagen efter offentliggörandet.

På de flesta Linux-system räcker det med att köra distributionens vanliga uppdateringskommando och starta om NGINX. Webbhotellsanvändare behöver bara försäkra sig om att leverantören har uppdaterat.

Den som av någon anledning inte kan patcha omedelbart bör enligt säkerhetsforskare gå igenom sin konfiguration och leta efter rewrite-regler som innehåller frågetecken tillsammans med set-direktiv. Det är precis den kombinationen som utlöser buggen.

Vad angriparna gör just nu

VulnChecks system noterade de första exploit-försöken den 16 maj, tre dagar efter att en proof-of-concept-kod offentliggjordes. Den vanligaste attacken just nu syftar till att slå ner servern. ”Upprepade förfrågningar kan också användas för att hålla arbetsprocesser i en kraschloop och försämra tillgängligheten”, skriver VulnCheck.

Att exekvera kod på avstånd, det vill säga ta kontroll över servern, är svårare. Det kräver att skyddet ASLR (en teknik som slumpar minnesadresser för att försvara mot attacker) har inaktiverats på målet, vilket inte är standard på moderna system.

Även en kraschloop är dock illa nog för en webbplats. Den innebär att besökare möter en otillgänglig sida så länge angreppet pågår.


Källor

Ads by MGDK