nginxの脆弱性 NGINX Rift(CVE-2026-42945)が公開3日でサイバー攻撃に悪用

セキュリティニュース

投稿日時: 更新日時:

nginxの脆弱性 NGINX Rift(CVE-2026-42945)が公開3日でサイバー攻撃に悪用

当サイトでは2026年5月13日の公開時に第1報として「NGINX Rift(CVE-2026-42945・CVSS 9.2)」の技術詳細・影響範囲・緩和策を報告しました。

その3日後の5月16日、VulnCheckのセキュリティ研究者Patrick Garrity氏が、同社のハニーポットネットワーク「VulnCheck Canary Intelligence」が実際の悪用試行を検出したことを公表しました。

VulnCheckセキュリティリサーチ担当VP・Caitlin Condon氏によれば、「現時点で観測されている攻撃者の活動は単一の中国IPアドレスから発生しており、AIによる脆弱性発見ツール『Vulnhuntr』をカスタマイズした実装を使って脆弱なインストールを自動スキャンし、PHPウェブシェルを設置しようとしているように見える」とのことです。攻撃の最終目的は現時点では不明です。

同日、VulnCheckはKEV(Known Exploited Vulnerability)アラートを発令しました。

【この記事のサマリー】

  • 公開3日後の5月16日にVulnCheck Canary Intelligence(ハニーポットネットワーク)が実際の悪用試行を検出。VulnCheckがKEVアラートを発令。
  • 観測された攻撃の概要:単一の中国IPアドレスが、AI脆弱性発見ツール「Vulnhuntr」のカスタム実装を使って脆弱なNGINXインストールを自動スキャンし、PHPウェブシェルの設置を試みている(Caitlin Condon VP、VulnCheck)。攻撃の最終目的は不明。
  • 規模:Censysクエリで約570万台のインターネット接続NGINXサーバーが脆弱バージョンを実行中。ただし実際に悪用可能なのはその一部(特定のrewrite設定が必要)。
  • DoSとRCEのリスク整理:DoS(ワーカープロセスのクラッシュ)はデフォルト設定でも脆弱なrewriteパターンがあれば可能。RCEはASLRが無効な場合のみ現実的(Kevin Beaumont氏)。
  • openDCIMでの連鎖悪用も同時確認:データセンターインフラ管理ツールopenDCIMのCVE-2026-28515(CVSS 9.3)・CVE-2026-28516(CVSS 9.3)・CVE-2026-28517(OS command injection)が同一の中国IPによって悪用試行されている。3件をチェーンして5つのHTTPリクエストでRCE・リバースシェルが可能。
  • WordPress連鎖リスク:WordPressの公式推奨nginx設定に脆弱なrewriteパターンが含まれる。WordPress+nginxの組み合わせは世界のウェブの40%以上を占め、政府機関サイトも多数が対象範囲に入る。
  • 即時対応:nginx 1.30.1(stable)または1.31.0(mainline)へのアップデートが最優先。

公開からわずか3日—VulnCheckがサイバー攻撃への悪用を確認

タイムライン

日時(UTC) 出来事
2026年5月13日 F5がCVE-2026-42945のパッチを公開。depthfirstが技術詳細とPoC(概念実証コード)をGitHubで公開
2026年5月16日 VulnCheck Canary Intelligenceが実際の悪用試行を検出。VulnCheckがKEVアラートを発令
2026年5月17〜18日 Patrick Garrity氏が公表。SecurityWeek・Help Net Security等が報道

VulnCheckのGarrity氏はLinkedInの投稿で「CVE公開からわずか数日後に、VulnCheck Canaries上でF5 NGINX(NGINX PlusとNGINX Open Sourceの双方に影響)のCVE-2026-42945の実悪用を確認している」と警告しました。

観測された攻撃活動の詳細

VulnCheckのCondon氏によれば、現時点で観測されている活動の特徴は以下の通りです。

攻撃元として、単一の中国IPアドレスから活動が発生しています。

手法として、AIによる脆弱性発見ツール「Vulnhuntr」をカスタマイズした実装を使い、脆弱なNGINXインストールを自動スキャンしています。Vulnhuntrは大規模言語モデルを使ってPythonコードベースの脆弱性を自律的に発見するオープンソースツールですが、攻撃者はこれを標的スキャン用にカスタマイズして使用しているとみられます。

目的として、脆弱なインストールを確認した後にPHPウェブシェルを設置しようとしているように見えるとされています。ただし攻撃の最終的な意図は現時点では不明です。

DoSとRCEのリスク整理

セキュリティ研究者Kevin Beaumont氏は「特定のNGINX設定が必要で、攻撃者がその設定を知っているか発見しなければならない。RCEを達成するにはASLRも無効になっている必要がある」と指摘しています。

DoS(ワーカープロセスのクラッシュ)については、脆弱なrewriteパターン(無名PCREキャプチャ+?を含むreplacement+後続のrewrite/if/setディレクティブ)があれば、ASLRの有無に関係なく発動可能です。ワーカープロセスがクラッシュするとNGINXは自動再起動しますが、攻撃者が繰り返しクラッシュを引き起こせばサービス停止状態が続きます。

RCE(リモートコード実行)については、ASLRが無効な場合のみ現実的です。組み込み機器・アプライアンス・レガシーシステム・誤設定環境での危険度が特に高くなります。

VulnCheckは「公開PoC(depthfirst公開)を使えばASLRを無効にしてRCEを達成する可能性があり、より広範な悪用試行が今後予想される」として警戒を呼びかけています。

Censysが示す規模—570万台が脆弱バージョンを実行中

VulnCheckがCensysを使ったクエリで確認したところ、インターネットに公開されている約570万台のNGINXサーバーが脆弱バージョン(0.6.27〜1.30.0)を実行していることが判明しました。

ただし、「実際に悪用可能な対象はその一部であることが見込まれる」とVulnCheckは分析しています。

脆弱性が発動するには特定のrewriteルール設定(無名PCREキャプチャ+?を含むreplacement)が必要だからです。

WordPress公式推奨設定に脆弱なパターン——世界のウェブの40%超が対象範囲に

Security Boulevard(Bob Rudis氏)の分析が注目されています。WordPressの公式推奨nginx設定ファイルの中に、CVE-2026-42945がトリガーされる脆弱なrewriteパターンが含まれていることが確認されています。

# WordPressの公式推奨nginx設定内の脆弱なパターン(例)
rewrite ^/([^/]+?)-sitemap([0-9]+)?.xml$ /index.php?sitemap=$1&sitemap_n=$2 last;

WordPress+nginxの組み合わせは世界のウェブの40%以上を占めており、米国政府(whitehouse.gov・NASA)・英国政府・オーストラリア政府・カリフォルニア州・主要な大学等が対象範囲に入る可能性があると指摘されています。

Security Boulevardでは脆弱な設定を検出するためのスキャナー(scan-nginx-rift.sh)も公開されています。

git clone https://git.sr.ht/~hrbrmstr/cve-2026-42945-scanner
cd cve-2026-42945-scanner
./scan-nginx-rift.sh /etc/nginx

出力例:

[VULN] sites-enabled/wordpress.conf:8 – rewrite ^/([^/]+?)-sitemap([0-9]+)?.xml$
       followed by "if" at line 12

openDCIMでも同一の中国IPによる連鎖悪用を確認

VulnCheckの報告では、NGINXへの攻撃と同時に、オープンソースのデータセンターインフラ管理ツール「openDCIM」の3件の脆弱性も同一の中国IPアドレスによって悪用試行されていることが確認されています。

CVE CVSS 種別 内容
CVE-2026-28515 9.3 Missing Authorization LDAP設定機能へのアクセス。Docker環境でREMOTE_USERが認証なしに設定されている場合、認証なしでアクセス可能
CVE-2026-28516 9.3 SQL Injection openDCIMのSQLインジェクション脆弱性
CVE-2026-28517 OS Command Injection report_network_map.phpdotパラメータに対するOSコマンドインジェクション

これら3件はVulnCheckのセキュリティ研究者Valentin Lobstein氏が2026年2月に発見したもので、3件を連鎖させることで5つのHTTPリクエストでRCEを達成しリバースシェルを起動できるとされています。

NGINXとopenDCIMへの攻撃が同一の中国IP・同一の自動スキャン実装から行われているという事実は、攻撃者が複数のクリティカル脆弱性を横断的に悪用するための自動化ツール基盤を構築していることを示唆しています。

第1報との差分——「開示時点では野生での悪用なし」から「3日で実攻撃確認」へ

当サイトが5月13日に公開した第1報では「開示時点での野生での悪用は確認されていない」(depthfirstがF5と協調してパッチ公開と同時に開示したため)と報告していました。しかし、PoCが公開されてからわずか3日でVulnCheckのハニーポットが実攻撃を検出しています。

これはNGINX Riftのような高スコア・広範囲な脆弱性に対して、攻撃者がいかに迅速に武器化を進めるかを示す典型的な事例です。

今すぐ取るべき対応

最優先:パッチ適用

nginx Open Sourceを1.30.1(stable)または1.31.0(mainline)へ、NGINX PlusをR36 P4・R32 P6・R37.0.0へ即時アップデートしてください。

# AlmaLinux / RHEL系 
sudo dnf clean metadata && sudo dnf upgrade nginx 
sudo systemctl restart nginx
# Debian / Ubuntu系 
sudo apt update && sudo apt upgrade nginx 
sudo systemctl restart nginx  

# バージョン確認 
nginx -v
# 脆弱なrewriteパターンをスキャン 
grep -rn 'rewrite.*\?.*\$[0-9]' /etc/nginx/

# または専用スキャナーを使用 
git clone https://git.sr.ht/~hrbrmstr/cve-2026-42945-scanner 
./cve-2026-42945-scanner/scan-nginx-rift.sh /etc/nginx

パッチ適用前の暫定緩和策

無名キャプチャ($1$2)を名前付きキャプチャに変更することで、パッチ適用なしでもトリガー条件を排除できます。

# 脆弱な設定 
rewrite ^/users/([0-9]+)$ /profile.php?id=$1 last;

# 安全な設定(名前付きキャプチャに変更) 
rewrite ^/users/(?<user_id>[0-9]+)$ /profile.php?id=$user_id last;

ASLRの確認と有効化

cat /proc/sys/kernel/randomize_va_space 
# 2 = 有効(RCEは困難) 
# 0 = 無効(RCEのリスクが高い)

# 有効化 
sudo sysctl -w kernel.randomize_va_space=2

ワーカークラッシュの監視

実攻撃を受けている場合、NGINXのワーカープロセスが繰り返しクラッシュ・再起動するパターンが現れます。以下のログ監視を追加してください。

# NGINXエラーログで"worker process"のクラッシュを監視 
grep -i "worker process.*exited" /var/log/nginx/error.log

 

openDCIMを使用している環境

openDCIMを使用している環境では、CVE-2026-28515・CVE-2026-28516・CVE-2026-28517のパッチ適用とともに、インターネットへの直接公開を避け、VPN・認証ゲートウェイを経由したアクセス制御を徹底してください。

参考情報