NGINX 0 DAY LDAP RCE 漏洞来龙去脉

背景

nginx 0 day RCE 漏洞影响 nginx 18.1。根据 AgainstTheWest Github https://github.com/AgainstTheWest/NginxDay 存储库，此错误与 nginx 中的 LDAP-auth 守护程序有关，因为 LDAP 与 Nginx 的交互不多，但是，有一个与 Nginx 一起使用的 ldap-auth 守护进程，它允许使用它。它主要用于访问私有 Github、Bitbucket、Jekins 和 Gitlab 实例。

自 4 月 9 日以来，一个名为Against the West的黑客组织一直在向 GitHub 存储库发布关于所谓的 NGINX 0day 的声明。该漏洞可能与 NGINX 如何与 LDAP 目录服务交互有关——在 Log4Shell 及其滥用恶意 LDAP 服务器。（NGINX 本身是用 C 编写的，不使用 Java 或任何基于 Java 的库，因此不受 Log4j 漏洞的影响……）

其实该漏洞早在 4 月 11 日，nginx发布了一篇博客来描述这个漏洞。具体参考：https://www.nginx.com/blog/addressing-security-weaknesses-nginx-ldap-reference-implementation/ NGINX LDAP 参考实现中存在安全漏洞。NGINX 开源和 NGINX Plus 版本不受影响，如果您不使用参考实现，则无需采取任何措施。

鉴于 NGINX 是世界上三分之一网站使用的网络转发服务器，但是我们需要首先确认自己是否使用了 LDAP 插件，如果没有用到，那么不用惊慌，如果已经采用，则需要采取以下措施，并持续关注。

更新 1：

随着一些进一步的分析正在进行中，与 nginx 中的 LDAP-auth 守护进程相关的模块受到很大影响。任何涉及 LDAP 可选登录的东西都受到影响，这包括 Atlassian 帐户。只是想知道我们是否可以绕过一些常见的 WAF。默认 nginx 配置似乎是易受攻击的类型，或常见配置。

我们强烈建议禁用该 ldapDaemon.enabled 属性。如果您打算设置它，请务必 ldapDaemon.ldapConfig使用正确的信息更改属性标志，并且不要将其保留为默认值。这可以更改，直到 Nginx 回复他们的电子邮件和 DM。

更新 2：

一直在与一些信息安全人员谈论此事，但反应不一。有人说这是 LDAP 本身而不是 Nginx 的问题，但 ldapDaemon 并不总是使用。准确的引用是 CI/CD 管道强化实例，其中一个步骤是完全剥离 LDAP 模块。这是部分正确的。其实在编译nginx的时候是一个选项。但是，这可能是 LDAP 本身的问题。

问题在于它仅适用于使用 LDAP 的 nginx 实例，例如任何提供该身份验证方法的登录门户。

需要进一步的分析和测试。看起来只会影响这个版本。如果它影响 LDAP 协议的更新版本，那么我们将看到它的结果。

黑客已经在利用了这个漏洞。由于此漏洞目前没有补丁，强烈建议使用 nginx Web 服务器的管理员尽快部署这些缓解措施。

更新 4：

关于人们在 twitter 和问题页面上关于这只是一个 LDAP 或 Bitnami 问题的建议，问题在于，在测试阶段，它只适用于 Nginx，而不适用于 Apache 或其他 Web 服务器。另外，Nginx 还没有回复。DM 或电子邮件。我们已通过电子邮件向一些我们未违反的受影响公司发送电子邮件（因为这严重违背了我们的理想），以寻求有关此漏洞的安全问题的支持。

参考

• https://www.nginx.com/blog/addressing-security-weaknesses-nginx-ldap-reference-implementation/?utm_medium=owned-social&utm_source=twitter&utm_campaign=ww-nx_sec_g&utm_content=bg-#condition-1
• https://www.nginx.com/blog/addressing-security-weaknesses-nginx-ldap-reference-implementation/?utm_medium=owned-social&utm_source=twitter&utm_campaign=ww-nx_sec_g&utm_content=bg-#condition-2
• https://www.nginx.com/blog/addressing-security-weaknesses-nginx-ldap-reference-implementation/?utm_medium=owned-social&utm_source=twitter&utm_campaign=ww-nx_sec_g&utm_content=bg-#condition-3
• https://thestack.technology/nginx0-day-claims/