AI 요약
보안 분석 시스템 기업 DepthFirst는 NGINX의 ngx_http_rewrite_module에서 발생한 심각한 힙 버퍼 오버플로우 취약점(CVE-2026-42945)과 그 공격 실증(PoC) 코드를 공개했습니다. 이 결함은 2008년에 처음 도입된 이후 오랫동안 방치되었으며, 인증되지 않은 공격자가 URI 리라이트(rewrite) 및 세트(set) 지시문을 사용하는 서버에 대해 원격 코드 실행(RCE)을 수행할 수 있게 합니다. 취약점의 핵심은 리라이트 엔진이 버퍼 크기를 계산하는 과정과 실제 데이터를 복사하는 과정 사이의 로직 불일치로 인해 발생합니다. DepthFirst는 자사의 자동화 분석 시스템을 통해 이 결함을 포함한 총 4개의 메모리 손상 취약점을 발견했다고 밝혔습니다. 현재 F5는 해당 이슈를 해결한 보안 업데이트를 배포했으며, 관리자들은 신속히 시스템을 업데이트해야 합니다.
핵심 인사이트
- 장기 방치된 결함: 2008년 NGINX 0.6.27 버전 도입 이후 약 16년 동안 존재해온 치명적인 취약점입니다.
- 주요 식별자: 이번에 공개된 핵심 RCE 취약점은 CVE-2026-42945이며, 추가로 3개의 메모리 손상 관련 CVE(CVE-2026-42946, CVE-2026-40701, CVE-2026-42934)가 발견되었습니다.
- 자동화된 발견: DepthFirst의 보안 분석 시스템이 NGINX 소스 코드를 온보딩한 직후 자율적으로 이러한 취약점들을 찾아냈습니다.
- 범용적 영향력: NGINX 오픈소스는 물론 기업용 제품인 NGINX Plus(R32~R36) 버전까지 모두 영향을 받습니다.
주요 디테일
- 기술적 메커니즘: URI 내의
?기호를 처리하는is_args플래그가 길이 계산 시에는 0으로, 실제 복사 시에는 1로 설정되는 로직 오류로 인해 힙 버퍼 오버플로우가 발생합니다. - 공격 기법: URI 바이트에 널(null) 바이트를 포함할 수 없는 제약을 극복하기 위해, POST 바디를 이용한 '크로스 요청 힙 펭수이(cross-request heap feng shui)' 기법으로 인접한
ngx_pool_t구조체를 오염시킵니다. - 최종 실행: 오염된 클린업 포인터를 조작하여 풀(pool)이 파괴될 때
system()함수를 호출하도록 유도함으로써 셸을 획득합니다. - 테스트 환경: 공개된 PoC는 Ubuntu 24.04.3 LTS 환경에서 Docker 컨테이너를 통해 검증되었습니다.
- 패치 정보: NGINX 오픈소스는 1.31.0 및 1.30.1 버전에서, NGINX Plus는 R36 P4, R35 P2, R32 P6 등에서 수정되었습니다.
향후 전망
- 보안 패치 가속화: 전 세계 수많은 웹 서버가 NGINX를 사용하는 만큼, 이번 RCE 취약점 공개로 인해 대규모 인프라 업데이트가 집중적으로 이루어질 전망입니다.
- AI 기반 취약점 탐지 확산: DepthFirst의 사례처럼 인간의 개입을 최소화한 AI/자동화 분석 시스템이 제로데이 취약점 발굴의 핵심 도구로 자리 잡을 것입니다.