NGINX CVE-2026-42945, 실전 악용돼 워커 충돌 및 원격 코드 실행 가능성 발생.
출처: The Hacker News
Ravie Lakshmanan2026년 5월 17일 · 서버 보안 / 취약점
새롭게 공개된 NGINX Plus와 NGINX Open에 영향을 미치는 보안 결함이 공개 직후 며칠 만에 실제 공격에 이용되고 있다고 VulnCheck가 전했습니다.
이 취약점은 CVE-2026-42945(CVSS 점수: 9.2)로, ngx_http_rewrite_module의 힙 버퍼 오버플로우이며 NGINX 0.6.27부터 1.30.0까지의 버전에 영향을 줍니다. AI 기반 보안 기업 depthfirst에 따르면 이 취약점은 2008년에 도입되었습니다.
취약점을 성공적으로 이용하면 인증되지 않은 공격자가 특수하게 조작된 HTTP 요청을 통해 워커 프로세스를 강제 종료하거나 원격 코드를 실행할 수 있습니다. 다만, 메모리 기반 공격을 방어하는 ASLR(Address Space Layout Randomization)이 비활성화된 장치에서만 코드 실행이 가능하다는 점에 유의해야 합니다.
“이 취약점은 특정 NGINX 설정이 존재해야 하고, 공격자가 그 설정을 알아내거나 발견해야 이용할 수 있습니다,” 라고 보안 연구원 Kevin Beaumont가 말했습니다. “원격 코드 실행(RCE)을 달성하려면 해당 시스템에서 ASLR이 비활성화돼 있어야 합니다.”
AlmaLinux 유지보수팀도 비슷한 평가를 내놓으며 “힙 오버플로우를 신뢰할 수 있는 코드 실행으로 전환하는 것은 기본 설정에서는 간단하지 않으며, ASLR이 활성화된 시스템(지원되는 모든 AlmaLinux 릴리스의 기본값)에서는 일반적인 신뢰성 있는 익스플로잇을 만들기 어렵다고 예상한다”고 밝혔습니다.
“하지만 ‘쉽지 않다’는 것이 ‘불가능하다’는 뜻은 아니며, 워커 크래시 DoS 자체만으로도 충분히 위험하므로 이를 긴급하게 대응할 것을 권고한다.”
VulnCheck의 최신 조사에 따르면 위협 행위자들이 이미 이 결함을 무기로 활용하기 시작했으며, 허니팟 네트워크에 대한 공격 시도가 포착되었습니다. 현재 공격 활동의 구체적인 양상과 최종 목표는 알려지지 않았습니다. 사용자는 F5에서 제공하는 최신 패치를 적용해 네트워크를 보호할 것을 권고합니다.
openDCIM의 취약점도 악용됨
VulnCheck는 데이터센터 인프라 관리에 사용되는 오픈소스 애플리케이션인 openDCIM의 두 가지 치명적인 취약점에 대한 악용 시도도 확인했습니다. 두 취약점 모두 CVSS 9.3점으로 평가되며 아래와 같습니다.
-
CVE-2026-28515 – 인증된 사용자가 LDAP 설정 기능에 접근할 수 있게 하는 권한 부여 누락 취약점. Docker 환경에서
REMOTE_USER가 인증 없이 설정된 경우, 자격 증명 없이도 해당 엔드포인트에 접근해 애플리케이션 구성을 무단으로 수정할 수 있습니다. -
CVE-2026-28517 –
report_network_map.php컴포넌트가 “dot” 파라미터를 검증 없이 쉘 명령에 직접 전달해 발생하는 운영체제 명령어 삽입 취약점. 이를 통해 임의 코드를 실행할 수 있습니다.
이 두 취약점은 VulnCheck 보안 연구원 Valentin Lobstein이 2022년 2월에 발견한 CVE-2026-28516(CVSS 9.3) – openDCIM의 SQL 인젝션 취약점 – 과 함께 발견되었습니다. Lobstein에 따르면, 세 가지 취약점을 연계하면 5개의 HTTP 요청만으로 원격 코드 실행 및 역쉘을 획득할 수 있다고 합니다.
“지금까지 관찰된 공격자 활동은 단일 중국 IP에서 시작됐으며, AI 기반 취약점 탐지 도구 Vulnhuntr의 맞춤형 구현을 사용해 취약한 설치 여부를 자동으로 확인한 뒤 PHP 웹 쉘을 배포한다”고 VulnCheck 보안 연구 부문 부사장 Caitlin Condon이 말했습니다.
이 기사 흥미롭다면 Google News, Twitter 및 LinkedIn을 팔로우해 더 많은 독점 콘텐츠를 확인하세요.