截至2022年7月31日15时,Nginx官方仍未透露关于该0day漏洞的细节以及POC,不过从Nginx官方下载网站中,我们可以明显地看到已经下线了1.21版本的下载地址。
从Nginx官方的可疑行为中,我们能够大胆猜测是否其已经发现了该漏洞的存在,并且封锁消息。目前微步云社区已经对该0day漏洞进行高价悬赏,并且其希望提供有效的信息与线索。
漏洞细节
目前该0day漏洞已被Github上名为「fakeNFkY」的所证实,复现该漏洞并进行了「EXP」测试,以下是测试动态图片,过程为:通过连接本地的Nginx,攻击溢出漏洞,获取本机权限,图中所展示的为打开「CALC.EXE」。
已知问题
经过全网信息收集与比对,部分社区告知的是「Idp」模块的问题,不过时间点似乎与目前这次对不上。Idp模块发现是在4个月前,我们在该问题上分析发现,该消息的提供者是在昨日添加的Nginx 0day「自述」,并且自称是Idp模块是此次漏洞的罪魁祸首。
修复建议
强烈建议禁用该ldapDaemon.enabled属性。如果您打算设置它,请务必ldapDaemon.ldapConfig使用正确的信息更改属性标志,并且不要将其保留为默认值。这样可以暂时延缓该漏洞问题,直到 Nginx 官方更新补丁!
警示!
目前Github出现了许多关于自称是0day的exp,请各位网友理性看待问题,防止钓鱼风险!
建议升级至Nginx1.22版本
目前已经修复