Хакеры начали взламывать серверы Nginx для перенаправления пользовательского трафика

[kulaginds]

А правильно ли я понимаю, что злоумышленник сначала получает доступ на редактирование конфигов nginx, а уже потом перенастраивает его как хочет?

Если да, тогда не понимаю в чем уязвимость nginx?

[valkhmyrov]

Да, заголовок вводит в заблуждение.

[select26]

Думаю что вы правильно все понимаете.
А rkhunter с начала 2000 годов используется, чтобы исключить незаметное измерение конфигурационных файлов. 25 лет назад все уже придумано!

[megadrugo2009]

@maybe_elf поменяйте пожалуйста заголовок на корректный. Сам Nginx не взламывают. Речь о подмене конфигов на уже скомпрометированном сервере.

[kostoms]

А куда тогда "внесли изменения, связанные с устранением уязвимостей, в том числе CVE-2026-1642"? :)

[serejk]

Если почитать, то данная уязвимость заключается в «MITM position on the upstream server side», что опять же не затрагивает Nginx напрямую. Также написано, что узявимость зарегистрирована 4 февраля, и находится в процессе анализа. В changelog у nginx:

Security: an attacker might inject plain text data in the response from an SSL backend (CVE-2026-1642).

Видимо, внесли какую-то обработку ответа для проверки, что в него была вставлена небезопасная хрень.

NGINX здесь оказался в свете софитов лишь потому, что чаще всех используется для проксирования.