Se ha revelado públicamente una nueva vulnerabilidad Zero-Day en el servidor web Nginx 1.18. Se trata de una vulnerabilidad de explotación remota de código (RCE) en la implementación del demon de autenticación LDAP de Nginx, que se filtró brevemente.

Originalmente, el usuario de Twitter @_Blue_hornet compartió información sobre esta falla pero cerró su perfil. Luego el grupo “AgainstTheWest” (ATW) comenzó a seguir su desarrollo.

Ya se están realizando algunos análisis adicionales y se ha podido comprobar que cualquier cosa que implique inicios de sesión de LDAP es explotable. Las configuraciones predeterminadas de Nginx también parecen ser vulnerables.

Hay bastante confusión al respecto porque LDAP no interactúa mucho con Nginx, pero sin embargo, hay un demonio ldap-authque se usa junto con Nginx. Este se utiliza principalmente para obtener acceso a instancias privadas de Atlassian, Github, Bitbucket, Jekins y Gitlab y por eso se requieren más pruebas.

Por ahora se recomienda enfáticamente deshabilitar la propiedad ldapDaemon.enabled = false y, en el caso de utilizarlo, se debe cambiar el indicador de propiedades ldapDaemon.ldapConfig con la información correcta y no dejarlo por defecto. Esto se puede cambiar cuando Nginx responda y solucione la vulnerabilidad.

Algunos dicen que es un problema con LDAP en sí y no con Nginx y uno de los pasos es eliminar completamente el módulo LDAP. Pero, si el problema es en LDAP propiamente dicho, cualquier portal que permita inicio de sesión puede ser vulnerable.

Aun se está trabajando en análisis y pruebas adicionales y por ahora solo afectaría a la versión 1.18.

Se rumorea que los delincuentes ya están explotado esta falla in-the-wild. Como esta vulnerabilidad actualmente no tiene un parche, se recomienda enfáticamente que los administradores que usan el servidor web Nginx implementen estas mitigaciones lo antes posible.

Fuente: https://blog.segu-info.com.ar/2022/04/alerta-de-vulnerabilidad-rce-de-nginx.html