Ketika Komponen Infrastruktur Internet Menjadi Titik Lemah
NGINX merupakan salah satu web server, reverse proxy, load balancer, dan API gateway yang paling banyak digunakan di dunia. Dari aplikasi cloud-native, platform e-commerce, layanan SaaS, hingga infrastruktur Kubernetes, NGINX menjadi fondasi utama lalu lintas internet modern.
Pada Mei 2026, komunitas keamanan dikejutkan oleh pengungkapan CVE-2026-42945, sebuah kerentanan kritis yang dijuluki NGINX Rift. Kerentanan ini ditemukan pada modul ngx_http_rewrite_module dan memungkinkan penyerang tanpa autentikasi menyebabkan Denial of Service (DoS) serta berpotensi memperoleh Remote Code Execution (RCE) melalui request HTTP yang dirancang secara khusus.
Yang membuat kasus ini semakin menarik adalah fakta bahwa kerentanan tersebut diperkirakan telah ada selama hampir 18 tahun tanpa terdeteksi, sehingga berpotensi memengaruhi sebagian besar infrastruktur web modern yang menggunakan NGINX.
Mengenal CVE-2026-42945
CVE-2026-42945 merupakan heap-based buffer overflow yang terjadi dalam modul rewrite NGINX.
Kerentanan muncul ketika konfigurasi tertentu menggunakan:
-
Directive
rewrite -
Unnamed PCRE capture group seperti
$1,$2 -
Replacement string yang mengandung karakter
? -
Directive tambahan seperti
rewrite,if, atauset
Dalam kondisi tersebut, request HTTP yang dirancang secara khusus dapat menyebabkan korupsi memori pada proses worker NGINX.
Informasi Kerentanan
| Parameter | Detail |
|---|---|
| CVE | CVE-2026-42945 |
| Nama | NGINX Rift |
| Jenis | Heap Buffer Overflow |
| Severity | Critical |
| CVSS v4 | 9.2 |
| Autentikasi | Tidak diperlukan |
| Dampak | DoS dan Potensi RCE |
Bagaimana Kerentanan Ini Bekerja?
Pada dasarnya, masalah terjadi ketika NGINX memproses aturan rewrite tertentu yang memanfaatkan regular expression.
Dalam kondisi rentan:
-
Penyerang mengirim request HTTP yang dimanipulasi.
-
Rewrite module memproses URI tersebut.
-
Terjadi ketidaksesuaian state dalam logika rewrite.
-
Heap memory mengalami overflow.
-
Worker process mengalami crash atau korupsi memori.
Menurut analisis Imperva, eksploitasi dapat menghasilkan restart berulang pada worker process dan dalam kondisi tertentu membuka peluang eksekusi kode arbitrer.
Alur Serangan
| Tahap | Aktivitas |
|---|---|
| 1 | Request HTTP dikirim |
| 2 | Rewrite rule dipicu |
| 3 | URI diproses |
| 4 | Heap overflow terjadi |
| 5 | Worker crash |
| 6 | DoS atau potensi RCE |
Mengapa NGINX Rift Sangat Berbahaya?
Berbeda dengan banyak kerentanan yang memerlukan autentikasi atau konfigurasi khusus, CVE-2026-42945 dapat dieksploitasi dari internet melalui request HTTP biasa jika konfigurasi rewrite yang rentan tersedia.
Potensi Dampak
| Dampak | Risiko |
|---|---|
| Worker Process Crash | Gangguan layanan |
| Restart Loop | Downtime berulang |
| Denial of Service | Aplikasi tidak tersedia |
| Memory Corruption | Ketidakstabilan sistem |
| Remote Code Execution | Pengambilalihan server |
Selain itu, eksploitasi tidak memerlukan bandwidth besar seperti serangan DDoS tradisional karena serangan memanfaatkan kelemahan logika aplikasi, bukan volume trafik.
Versi NGINX yang Terdampak
Kerentanan ini memengaruhi baik NGINX Open Source maupun NGINX Plus.
Produk Terdampak
| Produk | Versi Rentan |
|---|---|
| NGINX Open Source | 0.6.27 – 1.30.0 |
| NGINX Plus | R32 – R36 |
Versi yang Sudah Ditambal
| Produk | Versi Aman |
|---|---|
| NGINX Open Source | 1.30.1 atau 1.31.0+ |
| NGINX Plus | R32 P6, R36 P4, atau lebih baru |
Infrastruktur Apa Saja yang Berisiko?
Karena rewrite module digunakan secara luas, cakupan risiko sangat besar.
Implementasi yang Berpotensi Terdampak
| Infrastruktur | Risiko |
|---|---|
| Reverse Proxy | Tinggi |
| API Gateway | Tinggi |
| Load Balancer | Tinggi |
| Kubernetes Ingress | Tinggi |
| Web Hosting | Tinggi |
| E-Commerce | Tinggi |
| SaaS Platform | Tinggi |
NGINX sendiri digunakan oleh sekitar sepertiga situs web yang diketahui di internet, sehingga dampak potensialnya sangat luas.
Aktivitas Eksploitasi Sudah Diamati
Setelah pengungkapan publik, berbagai komunitas keamanan melaporkan:
-
Proof-of-Concept (PoC) telah tersedia.
-
Pemindaian internet skala besar mulai terlihat.
-
Upaya eksploitasi aktif telah diamati.
-
Organisasi mulai melakukan patch darurat.
Diskusi komunitas keamanan bahkan menekankan bahwa keberadaan PoC mengubah kerentanan ini dari sekadar risiko teoritis menjadi ancaman operasional yang nyata.
Aktivitas Pasca Pengungkapan
| Aktivitas | Tujuan |
|---|---|
| Internet Scanning | Identifikasi target |
| Configuration Enumeration | Menemukan rewrite rule |
| PoC Testing | Validasi kerentanan |
| Exploitation Attempts | DoS atau RCE |
Bagaimana Imperva Melindungi Pelanggan?
Imperva menyatakan bahwa pelanggan yang menggunakan solusi Cloud WAF maupun On-Prem WAF telah mendapatkan perlindungan terhadap upaya eksploitasi CVE-2026-42945.
Proteksi dilakukan melalui:
-
Analisis request HTTP berbahaya.
-
Deteksi pola eksploitasi rewrite module.
-
Pemblokiran payload yang mencoba memicu heap corruption.
-
Threat intelligence yang diperbarui secara otomatis.
Lapisan Perlindungan Imperva
| Fitur | Fungsi |
|---|---|
| Cloud WAF | Memblokir eksploitasi |
| On-Prem WAF | Perlindungan lokal |
| Request Inspection | Analisis payload |
| Threat Intelligence | Update proteksi otomatis |
| Virtual Patching | Perlindungan sebelum upgrade |
Langkah Mitigasi yang Direkomendasikan
Patching tetap menjadi tindakan paling penting.
Checklist Mitigasi
| Langkah | Prioritas |
|---|---|
| Upgrade ke versi aman | Sangat Tinggi |
| Audit konfigurasi rewrite | Sangat Tinggi |
| Ganti unnamed capture ($1, $2) menjadi named capture | Tinggi |
| Monitor crash worker process | Tinggi |
| Implementasi WAF | Tinggi |
| Audit reverse proxy dan ingress | Tinggi |
Beberapa peneliti juga merekomendasikan peninjauan ulang aturan rewrite yang menggunakan unnamed capture group karena pola tersebut menjadi bagian penting dari kondisi eksploitasi.
Dampak bagi Organisasi di Indonesia
NGINX digunakan secara luas pada:
-
Perbankan digital.
-
E-commerce.
-
Portal pemerintah.
-
Provider cloud lokal.
-
Platform pendidikan.
-
Infrastruktur Kubernetes enterprise.
Risiko Bisnis
| Area | Dampak |
|---|---|
| Website Publik | Downtime |
| API Service | Gangguan transaksi |
| Reverse Proxy | Ketidaktersediaan layanan |
| Cloud Environment | Gangguan multi-aplikasi |
| Infrastruktur Kritis | Risiko operasional |
Karena banyak organisasi menggunakan NGINX sebagai komponen yang berada di depan seluruh aplikasi bisnis, keberhasilan eksploitasi dapat berdampak pada banyak layanan sekaligus.
Kesimpulan
CVE-2026-42945 atau NGINX Rift menunjukkan bahwa bahkan komponen infrastruktur internet yang paling matang sekalipun masih dapat menyimpan kerentanan kritis selama bertahun-tahun tanpa terdeteksi. Kerentanan heap buffer overflow pada ngx_http_rewrite_module ini memungkinkan penyerang tanpa autentikasi menyebabkan crash pada worker process dan berpotensi memperoleh Remote Code Execution melalui request HTTP yang dirancang khusus.
Bagi organisasi yang menggunakan NGINX sebagai web server, reverse proxy, API gateway, atau ingress controller, tindakan paling penting saat ini adalah segera melakukan upgrade ke versi yang telah ditambal, meninjau konfigurasi rewrite yang ada, serta menerapkan perlindungan tambahan melalui WAF. Dengan adanya laporan eksploitasi aktif dan ketersediaan PoC publik, CVE-2026-42945 harus diperlakukan sebagai prioritas tinggi dalam program vulnerability management tahun 2026.
Imperva Indonesia merupakan bagian dari PT. iLogo Infralogy Indonesia, yang bertindak sebagai partner resmi Imperva.
Selain itu, kami juga berperan sebagai penyedia layanan (vendor) sekaligus distributor berbagai produk Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
