Tag: NIST

Wprowadzenie do problemu / definicja

PJPROJECT to popularny zestaw bibliotek open source wykorzystywany w rozwiązaniach VoIP, SIP i komunikacji czasu rzeczywistego. Podatność oznaczona jako CVE-2026-25994 dotyczy obsługi mechanizmu ICE i wynika z niewystarczającej walidacji długości danych dostarczanych zdalnie w SDP, co może prowadzić do przepełnienia bufora sterty lub stosu.

Problem ma szczególne znaczenie dla środowisk, w których biblioteka przetwarza niezaufane dane sieciowe pochodzące bezpośrednio od zdalnych uczestników sesji. W praktyce oznacza to ryzyko awarii aplikacji korzystających z podatnych wersji PJPROJECT.

W skrócie

• Podatność dotyczy PJPROJECT w wersjach do 2.16 włącznie.
• Wektor ataku wykorzystuje specjalnie przygotowane pole a=ice-ufrag w komunikacie SIP/SDP.
• Błąd ujawnia się podczas budowy listy kontrolnej ICE.
• Najbardziej prawdopodobnym skutkiem jest zdalny denial of service.
• W określonych warunkach nie można wykluczyć poważniejszej korupcji pamięci.
• Publiczny proof-of-concept pokazuje awarię procesu pjsua po odebraniu złośliwego żądania INVITE.

Kontekst / historia

PJPROJECT od lat pozostaje jednym z ważniejszych komponentów wykorzystywanych w aplikacjach softphone, bramkach VoIP, urządzeniach embedded oraz platformach unified communications. Jego popularność wynika z niewielkiego narzutu, szerokiej przenośności oraz obsługi kluczowych technologii, takich jak SIP, RTP, STUN, TURN i ICE.

Z punktu widzenia bezpieczeństwa najbardziej wrażliwe pozostają ścieżki kodu analizujące dane wejściowe z sieci, zwłaszcza atrybuty SDP wykorzystywane podczas negocjacji parametrów połączenia. Upublicznienie informacji o CVE-2026-25994 wraz z materiałem PoC obniża próg wejścia dla potencjalnych atakujących i zwiększa ryzyko szybkiego wykorzystania błędu w środowiskach produkcyjnych.

Analiza techniczna

Istota problemu sprowadza się do niebezpiecznego składania nazwy użytkownika ICE na podstawie zdalnego identyfikatora rem_ufrag oraz lokalnej wartości sesyjnej. W opisie technicznym wskazano funkcję pj_ice_sess_create_check_list(), w której używano bufora o stałym rozmiarze 128 bajtów.

Do tego bufora kopiowana była wartość zdalnego a=ice-ufrag, a następnie dołączano separator i lokalny identyfikator rx_ufrag. Jeśli wartość dostarczona przez zdalnego uczestnika była nadmiernie długa, dochodziło do zapisu poza granicami przydzielonej pamięci. Taki scenariusz prowadzi do klasycznej korupcji pamięci, która może zakończyć się awarią procesu.

Publiczny proof-of-concept demonstruje wykorzystanie komunikatu SIP INVITE zawierającego SDP z bardzo długim polem a=ice-ufrag oraz atrybutem a=ice-pwd. Celem jest doprowadzenie aplikacji do wejścia w podatną ścieżkę kodu i wywołanie błędu podczas tworzenia listy kontrolnej ICE.

Skuteczność ataku zależy od kilku czynników technicznych:

• czy ICE jest aktywnie używane w danej aplikacji,
• czy interfejs SIP jest osiągalny z niezaufanej sieci,
• jak biblioteka została skompilowana,
• czy system korzysta z mechanizmów ochrony pamięci, takich jak ASLR, NX i stack canaries,
• czy aplikacja wdraża dodatkową walidację SDP przed przekazaniem danych do PJPROJECT.

Z analizy poprawki wynika, że nowsze wydania wprowadzają kontrolę długości danych wejściowych, co pozwala odrzucić nieprawidłowe wartości przed wykonaniem niebezpiecznych operacji kopiowania.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem podatności jest zdalne wywołanie awarii klienta SIP, usługi VoIP lub innego produktu opartego na podatnej wersji biblioteki. W praktyce może to oznaczać przerwanie obsługi połączeń, niedostępność usług głosowych, restart procesu lub degradację działania systemu komunikacyjnego.

Ryzyko rośnie w środowiskach wystawionych do Internetu, szczególnie tam, gdzie sygnalizacja SIP jest publicznie dostępna. W organizacjach enterprise oraz u operatorów nawet scenariusz ograniczony do denial of service może mieć istotny wpływ biznesowy, ponieważ dotyka krytycznych kanałów komunikacji.

Choć publicznie opisany scenariusz koncentruje się na awarii procesu, każda podatność prowadząca do korupcji pamięci w natywnym kodzie C powinna być traktowana z dużą ostrożnością. W określonych warunkach nie można całkowicie wykluczyć bardziej zaawansowanych skutków, jeśli dalsza analiza exploitability wykaże możliwość kontrolowanego nadpisania pamięci.

Rekomendacje

Organizacje korzystające z PJPROJECT powinny w pierwszej kolejności zidentyfikować wszystkie systemy, produkty i zależności wykorzystujące tę bibliotekę. Następnie należy potwierdzić wersję komponentu i zaplanować aktualizację do wydania zawierającego poprawkę, czyli co najmniej do wersji 2.17 lub równoważnej poprawionej wersji dostarczonej przez producenta rozwiązania.

W celu ograniczenia ryzyka warto wdrożyć następujące działania:

• ograniczyć ekspozycję interfejsów SIP do zaufanych adresów i segmentów sieci,
• włączyć filtrowanie oraz inspekcję ruchu SIP/SDP,
• stosować SBC, mechanizmy normalizacji sygnalizacji lub pośredniczące warstwy ochronne,
• monitorować nietypowo długie wartości pól ice-ufrag i ice-pwd,
• rejestrować awarie procesów i alertować o nieoczekiwanych restartach usług VoIP,
• przeprowadzić testy regresyjne po aktualizacji, szczególnie w obszarze negocjacji ICE.

Jeśli natychmiastowa aktualizacja nie jest możliwa, warto czasowo ograniczyć dostęp do usługi, rozważyć wyłączenie nieużywanych funkcji związanych z ICE oraz wdrożyć reguły detekcyjne w systemach IDS, SBC lub innych mechanizmach kontroli ruchu sygnalizacyjnego.

Podsumowanie

CVE-2026-25994 pokazuje, że nawet dojrzałe i szeroko stosowane biblioteki komunikacyjne pozostają podatne na klasyczne błędy pamięci, jeśli dane wejściowe z sieci nie są rygorystycznie walidowane. W tym przypadku problem dotyczy obsługi ICE w PJPROJECT do wersji 2.16 i może zostać wywołany przez spreparowane dane SDP przesłane w komunikacji SIP.

Dla organizacji opierających usługi głosowe na tej bibliotece oznacza to realne ryzyko zakłócenia dostępności systemów VoIP. Kluczowe znaczenie mają szybka inwentaryzacja zależności, aktualizacja do poprawionej wersji, ograniczenie ekspozycji usług oraz bieżące monitorowanie anomalii w ruchu sygnalizacyjnym.

Źródła

• Exploit Database — PJPROJECT 2.16 – Heap Bufferoverflow
  https://www.exploit-db.com/exploits/52561
• NVD — CVE-2026-25994
  https://nvd.nist.gov/vuln/detail/CVE-2026-25994
• PJPROJECT GitHub Repository
  https://github.com/pjsip/pjproject

Wprowadzenie do problemu / definicja

NGINX Rift to krytyczna podatność typu heap-based buffer overflow oznaczona jako CVE-2026-42945. Luka dotyczy sposobu przetwarzania reguł rewrite w module ngx_http_rewrite_module i może prowadzić do zdalnego wykonania kodu lub destabilizacji procesów roboczych serwera.

Problem jest szczególnie istotny, ponieważ NGINX od lat stanowi fundament wielu środowisk webowych, reverse proxy, load balancerów oraz kontrolerów ingress. W efekcie nawet pojedyncza wada w tej warstwie może mieć szeroki wpływ na bezpieczeństwo i dostępność usług.

W skrócie

• Podatność otrzymała oznaczenie CVE-2026-42945.
• Jest to krytyczny błąd pamięci typu heap overflow w module rewrite.
• Warunkiem wyzwolenia jest określona kombinacja reguł rewrite i nienazwanych grup przechwytujących, takich jak $1 lub $2.
• Atak można przeprowadzić zdalnie, bez uwierzytelnienia, przez odpowiednio przygotowane żądanie HTTP.
• Skutkiem może być awaria workerów, pętla crash-loop, a w sprzyjających warunkach także zdalne wykonanie kodu.

Kontekst / historia

Ujawniona podatność ma wyjątkowo niepokojący charakter, ponieważ jej źródło znajdowało się w kodzie obecnym od około 18 lat. Oznacza to, że problem przez długi czas pozostawał niewidoczny w jednym z najczęściej wdrażanych komponentów infrastruktury internetowej.

Zakres narażonych wersji jest szeroki. Według ujawnionych informacji problem obejmuje NGINX Open Source od 0.6.27 do 1.30.0 oraz NGINX Plus od R32 do R36. Luka dotyczy także wybranych rozwiązań pochodnych opartych na tym stosie, co zwiększa jej potencjalny zasięg w środowiskach produkcyjnych.

Znaczenie tej luki wynika również z miejsca jej występowania. Nie dotyczy ona niszowego rozszerzenia, ale modułu obecnego w standardowych kompilacjach NGINX, przez co może wystąpić w bardzo wielu realnych wdrożeniach.

Analiza techniczna

Źródłem błędu jest niespójność pomiędzy obliczaniem rozmiaru bufora docelowego a rzeczywistym kopiowaniem danych podczas przetwarzania reguł rewrite. W określonym scenariuszu znak zapytania w ciągu zastępczym aktywuje wewnętrzną logikę obsługi argumentów URI, ale późniejsze wyliczenie długości nie uwzględnia w pełni skutków escapingu danych.

W praktyce oznacza to, że serwer może oszacować potrzebny rozmiar bufora na podstawie „surowej” długości przechwyconych danych, natomiast przy zapisie wykorzystać już postać rozszerzoną o dodatkowe znaki wynikające z transformacji. Jeśli wejściowy URI zawiera znaki zwiększające długość końcowego ciągu, dochodzi do zapisu poza przydzielonym obszarem pamięci sterty.

Istotne jest, że nadpisywane dane mogą być pochodną wejścia kontrolowanego przez atakującego. To zwiększa praktyczne ryzyko eksploatacji, ponieważ uszkodzenie pamięci nie ma wyłącznie losowego charakteru i może zostać częściowo ukształtowane przez odpowiednio przygotowane żądanie HTTP.

Luka jest osiągalna z poziomu publicznego interfejsu sieciowego i nie wymaga wcześniejszego dostępu do systemu. W środowiskach brzegowych, gdzie jeden serwer NGINX obsługuje wiele aplikacji, pojedyncza błędna konfiguracja może przełożyć się na ryzyko dla wielu usług jednocześnie.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem podatności jest możliwość zdalnego wykonania kodu w kontekście procesu workera NGINX. Nawet jeśli pełna eksploatacja nie będzie możliwa w każdej konfiguracji, sam potencjał wymuszania awarii workerów oznacza realne zagrożenie dla dostępności aplikacji.

Ryzyko jest szczególnie wysokie w organizacjach, które:

• wystawiają NGINX bezpośrednio do Internetu,
• korzystają z rozbudowanych reguł rewrite,
• utrzymują wiele aplikacji za jedną instancją proxy,
• używają produktów pochodnych opartych na NGINX,
• mają opóźniony proces aktualizacji komponentów infrastrukturalnych.

Brak potwierdzonej aktywnej eksploatacji w chwili ujawnienia nie oznacza niskiego priorytetu. Publiczne opisanie warunków wyzwolenia oraz dostępność poprawek zwykle szybko prowadzą do powstania skanerów i prób automatycznego wykorzystywania podatności przeciwko niezałatanym systemom.

Rekomendacje

Najważniejszym krokiem jest szybka aktualizacja do wersji naprawionych. Dla NGINX Open Source wskazano wydania 1.30.1 oraz 1.31.0, natomiast dla NGINX Plus odpowiednie poprawki obejmują R36 P4 oraz R32 P6.

Jeżeli natychmiastowe wdrożenie aktualizacji nie jest możliwe, należy zastosować obejście konfiguracyjne. Kluczowe jest zastąpienie nienazwanych grup przechwytujących, takich jak $1 i $2, grupami nazwanymi we wszystkich podatnych regułach rewrite.

Warto również przeprowadzić przegląd konfiguracji pod kątem współwystępowania następujących elementów:

• dyrektywy rewrite z nienazwanymi grupami przechwytującymi,
• znaku ? w ciągu zastępczym,
• kolejnych dyrektyw rewrite, if lub set w tym samym zakresie konfiguracji.

Z perspektywy operacyjnej zalecane są także dodatkowe działania obronne:

• audyt wszystkich plików konfiguracyjnych NGINX i rozwiązań pochodnych,
• weryfikacja wersji kontrolerów ingress, WAF-ów i modułów bezpieczeństwa,
• monitorowanie logów błędów oraz nietypowych restartów workerów,
• analiza podejrzanych żądań zawierających nietypowe znaki w URI,
• uwzględnienie tej podatności w działaniach threat hunting i skanowaniu ekspozycji zewnętrznej.

Podsumowanie

NGINX Rift pokazuje, że nawet dojrzałe i powszechnie stosowane komponenty infrastrukturalne mogą zawierać wieloletnie błędy o krytycznym znaczeniu. CVE-2026-42945 łączy zdalną osiągalność, brak potrzeby uwierzytelnienia, możliwość kontrolowanego uszkodzenia pamięci oraz szeroki potencjalny zasięg operacyjny.

Dla zespołów bezpieczeństwa i administratorów priorytetem powinny być szybka identyfikacja podatnych instancji, aktualizacja do wersji naprawionych oraz przegląd reguł rewrite pod kątem wzorca wyzwalającego problem. Zwłoka w reakcji może oznaczać zarówno ryzyko przejęcia procesu, jak i poważne zakłócenia dostępności usług.

Źródła

1. Security Affairs — https://securityaffairs.com/192132/hacking/nginx-rift-an-18-year-old-flaw-in-the-worlds-most-deployed-web-server-just-came-to-light.html
2. depthfirst — NGINX Rift — https://depthfirst.com/nginx-rift
3. NVD — CVE-2026-42945 — https://nvd.nist.gov/vuln/detail/CVE-2026-42945
4. F5 Security Advisory K000161019 — https://my.f5.com/manage/s/article/K000161019