Se ha revelado públicamente una nueva vulnerabilidad Zero-Day en el servidor web Nginx 1.18. Se trata de una vulnerabilidad de explotación remota de código (RCE) en la implementación del demon de autenticación LDAP de Nginx, que se filtró brevemente. El usuario de Twitter @_Blue_hornet compartió información sobre esta falla y luego cerró su perfil.

Ya se están realizando algunos análisis adicionales y se ha podido comprobar que cualquier cosa que implique inicios de sesión de LDAP es explotable. Esto incluye las cuentas de Atlassian. Las configuraciones predeterminadas de Nginx también parecen ser vulnerables.

Por ahora se recomienda enfáticamente deshabilitar la propiedad ldapDaemon.enabled y en el caso de utilizarlo, se debe cambiar el indicador de propiedades ldapDaemon.ldapConfig con la información correcta y no dejarlo por defecto. Esto se puede cambiar cuando Nginx responda y solucione la vulnerabilidad.

Algunos dicen que es un problema con LDAP en sí y no con Nginx y uno de los pasos es eliminar completamente el módulo LDAP. Pero, si el problema es en LDAP propiamente dicho, cualquier portal que permita inicio de sesión puede ser vulnerable.

Aun se está trabajando en análisis y pruebas adicionales y por ahora solo afectaría a la versión 1.18.

Los delincuentes ya están explotado esta falla in-the-wild. Como esta vulnerabilidad actualmente no tiene un parche, se recomienda enfáticamente que los administradores que usan el servidor web Nginx implementen estas mitigaciones lo antes posible.

Post en desarrollo...