Vulnerabilidad en ngnix pone en peligro de ataques DoS a un millón de sitios web

Más de un 1 millón de páginas web deben ser actualizadas a la mayor brevedad para corregir una vulnerabilidad encontrada en ngnix recientemente. De no hacerlo, los servidores web basados en ngnix (una amplia mayoría) estarían en peligro de sufrir ataques DoS (Denial of Service o Denegación de Servicio).

Ngnix es un popular software que proporciona servicios HTTP y de proxy inverso, además de servidor proxy para email y servidor TCP/UDP genérico. Un importante 25,28% de servidores en todo el mundo ejecutan actualmente estos servicios.

Vulnerabilidad en Nginx afecta a más de 1 millón de páginas web

El equipo de desarrollo de nginx ha lanzado nuevas versiones de su software (1.15.6 y 1.14.1) para corregir vulnerabilidades en la implementación de HTTP/2 podría causar ataques DoS en versiones 1.9.5 a 1.15.5. Se han encontrado un total de 2 vulnerabilidades. Dicho descubrimiento se lo debemos a Gal Goldshtein de F5.

Estos dos fallos de seguridad son discutidos en los boletines CVE-2018-16843 y CVE-2018-16844 y podrían causar un exxcesivo uso de CPU y memoria RAM en caso de producirse un ataque. Esto significa pérdida de disponibilidad de servicios en el peor de los casos, afectando a la imagen de marca e impidiendo la continuidad de operaciones de negocio, lo que significa dinero. Así lo anuncian en el boletín oficial del equipo de Ngnix:

Se han identificado dos problemas de seguridad en la implementación HTTP/2 de Nginx, que podría ocasionar un consumo excesivo de memoria (CVE-2018-16843) y uso de CPU (CVE-2018-16844). […] Este problema afecta a ngnix cuando es compilado con el módulo ngx_http_v2_module (no es compilado po defecto) si la opción «http2» de la directiva «listen» es utilizado en un archivo de configuración.

En estos momentos es todavía posible encontrar cientos de miles de servidores que funcionan con versiones sin actualizar de Nginx.

También se ha solucionado un problema de seguridad en el módulo ngx_http_mp4_module, que podría ser aprovechado por un atacante para causar un cuelgue en el proceso, o bien provocar una fuga de memoria mediante el envío de un archivo MP4 modificado a tal efecto.

Se trata del CVE-2018-16845 que afecta a versiones de nginx 1.1.3 y posteriores, también a 1.0.7 y posteriores. Las versiones corregidas son 1.15.6 y 1.14.1.

¿Cómo actualizar Nginx?

Para verificar la versión de Nginx solo tenemos que lanzar el comando:

sudo nginx -v

Si tu sistema disponía de paquetes de NGINX o NGINX Plus previamente instalados, es recomendable realizar una copia de seguridad de los mismos de la siguiente manera:

sudo cp -a /etc/nginx /etc/nginx-plus-backup
sudo cp -a /var/log/nginx /var/log/nginx-plus-backup

En sistemas FreeBSD:

sudo cp -a /usr/local/etc/nginx /usr/local/etc/nginx-plus-backup
sudo cp -a /var/log/nginx /var/log/nginx-plus-backup

Para actualizar los paquetes de Nginx haremos lo siguiente:

apt-get update

sudo apt-get install nginx

En sistemas CentOS:

sudo yum upgrade nginx

En sistemas FreeBSD:

sudo pkg upgrade nginx-plus

Finalmente, ejecutaremos nginx -t para probar la nueva configuración y realizar los cambios necesarios para pasar la prueba con éxito.

Más información: Nginx