Se ha identificado una vulnerabilidad crítica CVE-2026-8711 de desbordamiento de búfer basado en el montón (Heap Buffer Overflow) en el módulo NGINX JavaScript (njs). Un atacante no autenticado puede explotar este fallo enviando peticiones HTTP manipuladas para provocar la caída de los procesos trabajadores de NGINX, causando una Denegación de Servicio (DoS). En sistemas con configuraciones de seguridad débiles, existe el riesgo de ejecución de código arbitrario.
Veredicto Analítico
- Estado: Confirmado.
- Confianza: Alta (basado en detalles técnicos de CVE y F5).
- Riesgo para SOC TDIR: Crítico. Puede impactar la disponibilidad de servicios web y la integridad de los servidores que utilizan NGINX como proxy o servidor de aplicaciones.
- Urgencia operativa: Inmediata (requiere parcheo o revisión de configuración).
- Base del veredicto: La vulnerabilidad permite el control de variables por parte del cliente que afectan la memoria del proceso.
Hallazgos Clave
- Vector de Ataque: El fallo ocurre cuando la directiva js_fetch_proxy se configura utilizando variables controladas por el cliente (como encabezados HTTP $http_*, argumentos $arg_* o cookies $cookie_*).
- Impacto de Disponibilidad: El resultado principal es el choque (crash) y reinicio automático de los procesos trabajadores, lo que genera una condición de Denegación de Servicio (DoS) en el plano de datos.
- Riesgo de Ejecución de Código: Si el sistema tiene desactivada o mal configurada la aleatorización del diseño del espacio de direcciones (ASLR), un atacante podría ejecutar código arbitrario en el contexto del proceso trabajador.
Análisis Técnico
- Componente Afectado: Módulo ngx_http_js_module (específicamente el uso de js_fetch_proxy y la función ngx.fetch()).
- TTPs (MITRE ATT&CK):
- Táctica: Impacto (DoS) / Ejecución.
- Técnica: Explotación de vulnerabilidad de software (Exploiting Software Vulnerability).
- Versiones Afectadas: NGINX JavaScript (njs) versiones 0.9.4 a través de 0.9.8.
- Mitigación: Actualizar a la versión njs 0.9.9 o superior.
- Alcance: El problema está limitado al plano de datos; no afecta al plano de control ni a otros productos de F5 como BIG-IP o F5 Distributed Cloud.
Recomendaciones Operativas
SOC Tier 1 & 2:
- Monitorear: Busquen un aumento inusual en los reinicios de procesos de NGINX o errores de segmentación en los logs de error del sistema.
- Validar: Revisar si los servidores web en la infraestructura utilizan el módulo njs y en qué versión.
Ingeniería de Detecciones:
- Caso de uso: Detección de peticiones HTTP con encabezados o argumentos inusualmente largos o con caracteres especiales dirigidos a endpoints que utilicen funciones de NJS.
- Lógica: Correlacionar peticiones HTTP sospechosas con eventos de “Worker Process Crash” en los logs de NGINX.
DevOps / Administradores de Sistemas (Acción Inmediata):
- Parchear: La recomendación principal es actualizar el módulo njs a la versión 0.9.9.
- Hardening: Asegurarse de que ASLR esté habilitado y correctamente configurado en el sistema operativo para mitigar la posibilidad de ejecución de código.
- Auditoría de Configuración: Revisar el archivo de configuración de NGINX para identificar el uso de js_fetch_proxy con variables que provengan directamente de los encabezados del cliente.
