Một lỗ hổng NGINX nghiêm trọng đã được công bố, ảnh hưởng đến cả NGINX Open Source và NGINX Plus. Lỗ hổng này được định danh chính thức là CVE-2026-32647, mang mức điểm CVSS v4.0 là 8.5 và CVSS v3.1 là 7.8. Đây là một CVE nghiêm trọng mà các quản trị viên hệ thống cần đặc biệt lưu ý.
Lỗ hổng cho phép kẻ tấn công cục bộ, đã xác thực có thể gây ra tình trạng từ chối dịch vụ (DoS) hoặc tiềm ẩn khả năng thực thi mã tùy ý (remote code execution) trên hệ thống cơ bản.
Phân tích Kỹ thuật về Lỗ hổng NGINX CVE-2026-32647
Bản chất Lỗ hổng và Cơ chế Khai thác
CVE-2026-32647 tồn tại hoàn toàn trong mặt phẳng dữ liệu (data plane) của ứng dụng, không có sự phơi nhiễm trên mặt phẳng điều khiển (control plane). F5 đã chính thức ghi nhận công lao của các nhà nghiên cứu Xint Code và Pavel Kohout từ Aisle Research trong việc phát hiện và phối hợp công bố lỗ hổng này.
Trọng tâm của vấn đề bảo mật này bắt nguồn từ một lỗ hổng đọc ngoài giới hạn (out-of-bounds read), được phân loại theo CWE-125. Lỗi hỏng bộ nhớ này được cô lập trong module ngx_http_mp4_module.
Kẻ tấn công có thể khai thác điểm yếu này bằng cách buộc máy chủ NGINX xử lý một tệp MP4 được chế tạo đặc biệt. Khi tiến trình worker của NGINX phân tích cú pháp tệp phương tiện độc hại, nó kích hoạt tràn hoặc thiếu bộ đệm (buffer overrun or underflow) trong bộ nhớ của worker.
Việc thao tác bộ nhớ này ngay lập tức chấm dứt tiến trình worker, tạm thời làm gián đoạn lưu lượng mạng đang hoạt động trong khi hệ thống cố gắng khởi động lại tiến trình. Vượt ra ngoài một sự từ chối dịch vụ đơn giản, kẻ tấn công về lý thuyết có thể kết hợp lỗi hỏng bộ nhớ này để đạt được thực thi mã từ xa (remote code execution) trên máy chủ.
Điều kiện Hệ thống Dễ bị Tấn công
Để một hệ thống có thể bị khai thác bởi lỗ hổng NGINX này, phiên bản NGINX phải được xây dựng với module ngx_http_mp4_module và đang chủ động sử dụng directive mp4 trong tệp cấu hình của nó. NGINX Plus tự động bao gồm module này.
Ngược lại, các quản trị viên NGINX Open Source chỉ gặp rủi ro nếu họ đã biên dịch và kích hoạt module này một cách rõ ràng.
Phiên bản bị Ảnh hưởng và Các bản vá Bảo mật
F5 đã phát hành các bản cập nhật phần mềm để khắc phục lỗ hổng CVE-2026-32647 trên tất cả các nhánh sản phẩm bị ảnh hưởng. Các sản phẩm khác của F5, bao gồm BIG-IP, BIG-IQ, F5OS và F5 Distributed Cloud, hoàn toàn không bị ảnh hưởng bởi lỗi này.
NGINX Plus
Các phiên bản NGINX Plus từ R32 đến R36 đều có lỗ hổng. Các bản vá đã có sẵn trong:
- R36 P3
- R35 P2
- R32 P5
NGINX Open Source
Các phiên bản NGINX Open Source từ 1.1.19 đến 1.29.6 bị ảnh hưởng. Các bản vá đã được phát hành trong các phiên bản:
- 1.28.3
- 1.29.7
Các nhóm bảo mật được khuyến nghị mạnh mẽ nên cập nhật triển khai NGINX của họ lên các bản phát hành đã được vá lỗi mới nhất ngay lập tức. Thông tin chi tiết về lỗ hổng và các bản vá có thể được tìm thấy trên NVD NIST.
Biện pháp Giảm thiểu và Cập nhật Bản vá Bảo mật
Nếu việc vá lỗi ngay lập tức nằm ngoài khung thời gian bảo trì hiện tại của bạn, F5 khuyến nghị áp dụng các biện pháp giảm thiểu dựa trên cấu hình để bảo vệ cơ sở hạ tầng. Tham khảo hướng dẫn chính thức của F5 để biết thêm chi tiết.
Vô hiệu hóa Module MP4 Streaming
Các quản trị viên có thể vô hiệu hóa mối đe dọa bằng cách tạm thời tắt module MP4 streaming. Điều này yêu cầu đăng nhập vào hệ thống máy chủ NGINX và chỉnh sửa các tệp cấu hình chính, thường nằm trong thư mục /etc/nginx.
Các kỹ sư bảo mật phải xác định vị trí tất cả các khối server và location đang sử dụng directive mp4 và bình luận chúng bằng ký tự thăng (#).
# /etc/nginx/nginx.conf (hoặc tệp cấu hình liên quan)
server {
listen 80;
server_name example.com;
# Bình luận dòng này để vô hiệu hóa module mp4
# mp4;
location /video {
# Bình luận dòng này nếu có
# mp4;
root /var/www/html;
autoindex on;
}
}
Sau khi lưu cấu hình đã sửa đổi, quản trị viên nên xác thực cú pháp bằng lệnh sudo nginx -t trước khi tải lại dịch vụ một cách duyên dáng (gracefully reloading the service).
sudo nginx -t
sudo systemctl reload nginx
# Hoặc đối với các hệ thống cũ hơn
sudo service nginx reload
Mặc dù biện pháp giảm thiểu này tắt hỗ trợ pseudo-streaming phía máy chủ cho các tệp MP4, nhưng nó loại bỏ hiệu quả vector tấn công. Điều này rất quan trọng để giảm thiểu rủi ro từ lỗ hổng NGINX này.
Các biện pháp phòng thủ bổ sung
Là một biện pháp phòng thủ sâu hơn (defense-in-depth), các tổ chức nên hạn chế quyền xuất bản các tệp âm thanh và video chỉ cho những người dùng đáng tin cậy. Hạn chế quyền xuất bản phương tiện ngăn chặn các tác nhân không được ủy quyền đưa payload MP4 được chế tạo vào môi trường máy chủ, từ đó bảo vệ hệ thống khỏi một cuộc tấn công mạng tiềm tàng.
