CVE-2026-42945 Nginx Rift: server sotto attacco. Guida alla protezione per PMI

Nel weekend del 17-18 maggio 2026, i sensori di VulnCheck hanno registrato i primi tentativi di sfruttamento attivo di CVE-2026-42945, una vulnerabilità critica nel web server NGINX battezzata "Nginx Rift". La falla, un heap buffer overflow con punteggio CVSS 9.2, era presente nel codice dal 2008 — diciotto anni di latenza durante i quali è rimasta invisibile a ogni audit. Oggi, a meno di una settimana dalla pubblicazione della patch, l'exploit è già in circolazione. Per le PMI italiane che gestiscono server web in proprio o tramite hosting provider, il tempo per intervenire si misura in ore, non in giorni.

Cos'è Nginx Rift: il bug rimasto nascosto per 18 anni

CVE-2026-42945 è un heap buffer overflow che risiede nel modulo ngx_http_rewrite_module, un componente incluso in ogni build standard di NGINX. La vulnerabilità è stata scoperta dal team di ricerca depthfirst utilizzando un sistema autonomo di analisi del codice sorgente, che in sei ore di scansione ha identificato il problema insieme ad altre quattro vulnerabilità, tre delle quali confermate da F5.

Il meccanismo tecnico è tanto sottile quanto devastante. Quando una configurazione NGINX utilizza una direttiva rewrite con una cattura PCRE senza nome — come $1 o $2 — e la stringa di sostituzione contiene un punto interrogativo (?), seguita da un'altra direttiva rewrite, if o set nello stesso contesto, il motore di riscrittura calcola la dimensione del buffer di destinazione con un insieme di regole di escaping e poi scrive i dati con un insieme diverso. Il flag is_args rimane attivo dopo la prima riscrittura, causando una riespansione dei caratteri speciali (+, %, &) che sfonda il buffer allocato [depthfirst.com].

Il bug è stato introdotto nella versione 0.6.27 di NGINX, rilasciata nel 2008, e interessa tutte le versioni successive fino alla 1.30.0 per NGINX Open Source e dalla R32 alla R36 per NGINX Plus. Anche diversi prodotti dell'ecosistema F5 risultano coinvolti: NGINX Instance Manager, F5 WAF for NGINX, NGINX App Protect, NGINX Gateway Fabric e NGINX Ingress Controller [securityaffairs.com].

Perché questa vulnerabilità è particolarmente critica

Il punteggio CVSS 9.2 colloca Nginx Rift nella fascia più alta della scala di gravità, ma sono tre fattori concreti a renderla un'emergenza reale per chi gestisce infrastrutture web:

1. Nessuna autenticazione richiesta. Un attaccante che raggiunge un server NGINX vulnerabile via HTTP può inviare una singola richiesta malevola e corrompere l'heap del processo worker. Non servono credenziali, sessioni attive o condizioni particolari oltre alla raggiungibilità di rete.
2. Doppio impatto: denial-of-service e RCE. Su configurazioni predefinite, l'overflow causa il crash del processo worker, producendo un denial-of-service che abbatte tutti i siti serviti dall'istanza. Se ASLR (Address Space Layout Randomization) è disabilitato — configurazione ancora presente in alcuni ambienti di produzione, specie su sistemi legacy o container con kernel datati — l'attaccante può ottenere esecuzione remota di codice (RCE) nel contesto del worker NGINX.
3. Superficie d'attacco vastissima. Secondo le stime riportate da Positive Technologies, circa 18,9 milioni di istanze NGINX sono potenzialmente esposte a livello globale [dbugs.ptsecurity.com]. NGINX alimenta circa il 34% dei siti web mondiali [w3techs.com] e una porzione ancora maggiore tra i siti ad alto traffico, agendo come web server, reverse proxy, load balancer e ingress controller in ambient Kubernetes.

La configurazione che attiva la vulnerabilità — una direttiva rewrite con catture $1, $2 e punto interrogativo nella sostituzione, seguita da un'altra direttiva condizionale — è sorprendentemente comune. Pattern di questo tipo si trovano in configurazioni per la riscrittura di URL, la gestione di parametri query string e il reindirizzamento di traffico legacy, tutte pratiche diffusissime in ambienti enterprise e PMI.

La finestra di exploit nell'era dell'AI

Il caso Nginx Rift segna un'accelerazione preoccupante nella catena "patch-PoC-exploit". Depthfirst ha pubblicato l'analisi tecnica completa — incluso un proof-of-concept funzionante — contestualmente all'advisory pubblico e al rilascio delle patch da parte di F5 del 13 maggio 2026 [depthfirst.com]. Nel giro di 4-5 giorni, VulnCheck ha rilevato exploit attivi sulle proprie infrastrutture canary, confermando una finestra tra patch e sfruttamento ormai compressa a pochi giorni [securityweek.com].

Non si tratta di un episodio isolato. Un report Synack del 2025, pubblicato proprio il 18 maggio 2026, documenta come l'uso di strumenti di intelligenza artificiale da parte dei ricercatori — e potenzialmente degli attaccanti — stia comprimendo drasticamente il ciclo di vita delle vulnerabilità [helpnetsecurity.com]. Nel caso specifico di Nginx Rift, è stato proprio un sistema automatizzato di analisi del codice (depthfirst) a scovare il bug dopo 18 anni di silenzio: la stessa tecnologia che accelera la scoperta accelera anche l'arma a doppio taglio della pubblicazione del PoC.

La situazione in Italia: un'infrastruttura esposta

Non esistono dati disaggregati per Paese sul numero di istanze NGINX vulnerabili, ma alcune proiezioni sono possibili. L'Italia conta circa 3,5 milioni di domini registrati sotto .it (dati Registro .it, 2025) [nic.it] e una quota significativa di essi è servita da NGINX, sia direttamente sia attraverso hosting provider, CDN e piattaforme cloud che utilizzano NGINX come componente di front-end.

Il tessuto imprenditoriale italiano, composto per oltre il 95% da PMI, presenta criticità specifiche rispetto a questa vulnerabilità:

• Server autogestiti non aggiornati. Molte PMI mantengono server Linux con NGINX installato tramite package manager di sistema (apt, yum) senza un ciclo di aggiornamento regolare. Versioni datate di NGINX potrebbero non ricevere patch automaticamente se il repository di sistema non è configurato correttamente.
• Hosting condiviso e VPS non gestiti. Chi utilizza VPS non gestite presso provider italiani è integralmente responsabile dell'aggiornamento dello stack software. Su un campione di VPS italiane analizzate informalmente, una percentuale non trascurabile esegue versioni di NGINX precedenti alla 1.30.1.
• ASLR e configurazioni legacy. Ambienti containerizzati con kernel Linux datati (< 3.x) o macchine virtuali configurate con randomize_va_space=0 per compatibilità con software legacy sono particolarmente esposti al rischio RCE.

Per i fornitori di connettività e hosting italiani, il tema si inserisce nel più ampio quadro della cybersecurity per le PMI italiane, dove la protezione perimetrale da sola non basta più e serve un approccio stratificato.

Come verificare se il tuo server è vulnerabile

Il primo passo è stabilire se la propria infrastruttura sia effettivamente esposta. Ecco una procedura in tre fasi, pensata per essere eseguita da un amministratore di sistema con accesso shell.

1. Verificare la versione di NGINX

nginx -v
# Output atteso per versioni vulnerabili: nginx/1.30.0 o precedenti
# Output sicuro: nginx/1.30.1, nginx/1.31.0 o superiori

Per NGINX Plus, verificare con:

nginx -v 2>&1 | grep -i plus
# Se R32-R36 senza patch P4/P6, il sistema è vulnerabile

2. Controllare la configurazione rewrite

Il bug si attiva solo in presenza di uno specifico pattern di configurazione. Eseguire:

grep -rE '\$[0-9]+' /etc/nginx/ | grep -E 'rewrite.*\?' 

Se il comando restituisce output, la configurazione contiene il pattern vulnerabile. È possibile mitigare il rischio anche senza aggiornare NGINX (si veda la sezione successiva).

3. Verificare lo stato di ASLR

cat /proc/sys/kernel/randomize_va_space
# 0 = ASLR disabilitato (RISCHIO RCE)
# 1 = ASLR parziale
# 2 = ASLR completo (valore predefinito e raccomandato)

Se il valore restituito è 0, il server è esposto al rischio di remote code execution, non solo denial-of-service. Correggere immediatamente con:

echo 2 > /proc/sys/kernel/randomize_va_space

E rendere la modifica permanente aggiungendo kernel.randomize_va_space=2 in /etc/sysctl.conf o in un file dedicato nella directory /etc/sysctl.d/.

4. Monitorare i log per tentativi di exploit

Gli exploit in-the-wild inviano richieste HTTP con URI contenenti sequenze di caratteri escaped pensate per corrompere l'heap. Pattern sospetti nei log di accesso includono:

• URI eccessivamente lunghi con caratteri URL-encoded ripetuti (%2B, %26, %3D)
• Richieste multiple consecutive a endpoint di rewrite che causano errori 500 o 502
• Crash dei processi worker con segnali SIGSEGV nei log di sistema (dmesg | grep nginx)

Le contromisure: aggiornare, mitigare, monitorare

Esistono tre livelli di intervento, da applicare in ordine di priorità.

Opzione 1: Aggiornamento immediato (raccomandata)

F5 ha rilasciato le versioni corrette il 13 maggio 2026. La procedura varia in base alla distribuzione:

NGINX Open Source:

# Debian/Ubuntu
sudo apt update && sudo apt install --only-upgrade nginx

# RHEL/CentOS/Rocky Linux
sudo yum update nginx

# Verifica post-aggiornamento
nginx -v  # Deve mostrare 1.30.1 o 1.31.0+
sudo systemctl restart nginx

NGINX Plus: Aggiornare alla R32 P6, R35 P2 o R36 P4 tramite il repository ufficiale NGINX Plus. Riavviare il servizio dopo l'installazione.

NGINX Ingress Controller, Gateway Fabric, App Protect: F5 raccomanda di spostarsi su release branch che includono il fix. Alla data del 19 maggio 2026, i fix per alcuni prodotti (Instance Manager, WAF, DoS) sono disponibili solo in branch aggiornati, non come patch per le versioni correnti [depthfirst.com].

Opzione 2: Mitigazione senza aggiornamento (workaround temporaneo)

Se l'aggiornamento immediato non è possibile — per vincoli di change management, finestre di manutenzione già pianificate o dipendenze software — esiste un workaround mirato specificamente a CVE-2026-42945. La vulnerabilità è innescabile solo quando catture PCRE senza nome ($1, $2) coesistono con punti interrogativi nelle stringhe di sostituzione delle direttive rewrite. Sostituire le catture senza nome con catture con nome neutralizza il percorso di codice vulnerabile:

# Pattern VULNERABILE
rewrite ^/old/(.*)/?$ /new/$1?param=value last;

# Pattern SICURO (cattura con nome)
rewrite ^/old/(?<capture>.*)/?$ /new/$capture?param=value last;

Dopo la modifica, ricaricare la configurazione con nginx -s reload. Questo workaround richiede una revisione attenta di tutte le direttive rewrite, ma ha il vantaggio di non richiedere un riavvio completo del servizio né un aggiornamento dei binari.

Opzione 3: Disabilitare temporaneamente il modulo rewrite

Per i server che non utilizzano attivamente la funzionalità di rewrite, è possibile disabilitare il modulo. Questa è un'opzione drastica — interrompe qualsiasi riscrittura URL, reindirizzamento e routing basato su regole — ma elimina completamente il vettore di attacco. Si applica solo se il rewrite non è essenziale per il funzionamento dell'applicazione.

Per verificare se il modulo è compilato staticamente o dinamicamente:

nginx -V 2>&1 | grep rewrite

Se il modulo è compilato staticamente, l'unica via è ricompilare NGINX senza di esso — operazione raramente praticabile in contesti di produzione. In tal caso, le Opzioni 1 o 2 restano le uniche percorribili.

Confronto tra le strategie di protezione

Non tutte le soluzioni sono equivalenti, e la scelta dipende dal contesto operativo specifico. Ecco un confronto pratico per orientare la decisione:

Strategia	Quando conviene	Quando NON conviene	Livello di protezione
Aggiornamento immediato	Server con accesso ai repository, senza dipendenze bloccanti, con finestra di manutenzione disponibile in giornata	Ambienti con vincoli di certificazione (es. sistemi validati ISO 13485, GxP), dipendenze da moduli compilati per versioni specifiche	Completo
Workaround configurazione	Server con poche direttive rewrite, team che conosce bene la configurazione, impossibilità di riavviare	Configurazioni complesse con decine di rewrite annidati (rischio di errori nella sostituzione), ambienti con più amministratori non coordinati	Parziale (solo CVE-2026-42945)
Protezione gestita (SOC/NGF)	PMI senza sysadmin interno, multisito con decine di istanze, necessità di monitoraggio continuo	Singolo server non critico, budget IT inferiore a poche centinaia di euro/anno	Completo + monitoring

Il quadro generale: vulnerabilità e automazione

Nginx Rift non è un caso isolato, ma il sintomo di una tendenza che sta ridefinendo la gestione delle vulnerabilità. Google Threat Intelligence Group ha documentato il primo caso noto di hacker che utilizzano strumenti AI per creare exploit zero-day, un passaggio che accorcia ulteriormente la finestra tra scoperta e sfruttamento rispetto a quanto già visto con Nginx Rift [aol.com].

Nel maggio 2026, il panorama della sicurezza server presenta vulnerabilità critiche su più fronti: oltre a Nginx Rift, è attivo un exploit per DirtyDecrypt (CVE-2026-31431), una falla di privilege escalation nel kernel Linux che consente di ottenere accesso root su sistemi compromessi [bleepingcomputer.com]. La combinazione di una RCE su NGINX e una privilege escalation locale su Linux rappresenta una catena di attacco completa: accesso iniziale via Nginx Rift, escalation a root via DirtyDecrypt.

Per le PMI italiane, il messaggio è chiaro: non si può più fare affidamento su cicli di patching mensili o trimestrali. La gestione delle patch deve evolvere verso un modello continuo, affiancato da monitoraggio in tempo reale e, dove le risorse interne scarseggiano, da servizi di sicurezza gestita.

Protezione gestita: come Neomedia difende le infrastrutture dei clienti

Per le aziende italiane che non dispongono di un team sistemistico dedicato o che gestiscono decine di server distribuiti, la strategia più efficace è la protezione gestita. Neomedia, in quanto Internet Service Provider con competenze verticali sulla cybersecurity, integra nella propria offerta business diversi livelli di difesa che mitigano vulnerabilità come Nginx Rift:

• Next Generation Firewall (NGF): il firewall di nuova generazione analizza il traffico HTTP a livello applicativo, bloccando payload malevoli che tentano di sfruttare heap overflow — anche quando la patch non è ancora stata applicata. Le regole WAF (Web Application Firewall) vengono aggiornate in tempo reale dal SOC Neomedia man mano che emergono nuovi indicatori di compromissione.
• Navigazione Sicura (NS): il servizio di DNS filtering intercetta le comunicazioni da e verso server di comando e controllo, impedendo agli attaccanti di esfiltrare dati o stabilire persistenza dopo un eventuale accesso iniziale.
• EDR e SOC H24: il monitoraggio continuo degli endpoint e dei server, gestito dal Security Operations Center Neomedia, rileva comportamenti anomali — come crash ripetuti dei processi worker NGINX o allocazioni di memoria sospette — e attiva le procedure di contenimento prima che il danno si consolidi.

Questo approccio stratificato risponde esattamente al problema evidenziato da Nginx Rift: la finestra tra patch e attacco è ormai troppo stretta perché un intervento manuale possa essere tempestivo in ogni caso. Il monitoraggio gestito colma questo gap, offrendo alle PMI una protezione continua senza la necessità di presidiare i sistemi 24 ore su 24.

Per approfondire come funziona la protezione perimetrale e il monitoraggio gestito, è disponibile l'articolo sulla cybersecurity per PMI in Italia.

Conclusioni: agire oggi, non domani

CVE-2026-42945 Nginx Rift rappresenta un punto di svolta nella gestione delle vulnerabilità server: un bug rimasto invisibile per 18 anni, scoperto da un sistema automatizzato, patchato il 13 maggio e già sotto attacco attivo pochi giorni dopo. La finestra di reazione si è compressa a giorni, e ogni server NGINX non aggiornato è un bersaglio concreto.

Tre azioni immediate per ogni amministratore di sistema:

1. Verificare oggi la versione di NGINX e lo stato di ASLR con i comandi indicati nella sezione di verifica.
2. Applicare la patch o, in subordine, il workaround sulle catture PCRE.
3. Attivare il monitoraggio dei log per rilevare tentativi di exploit in corso.

Per le PMI italiane che gestiscono infrastrutture web, la domanda non è se qualcuno proverà a sfruttare Nginx Rift contro i loro server, ma quando. La risposta, a giudicare dai dati VulnCheck, è: lo sta già facendo.