SchwachstellenHackerangriffe

Kritische NGINX-Lücke: Proof-of-Concept veröffentlicht – Millionen Server gefährdet

Von CyberDeutsch Redaktion
Kritische NGINX-Lücke: Proof-of-Concept veröffentlicht – Millionen Server gefährdet
Zusammenfassung

Eine kritische Sicherheitslücke in NGINX, einem der weltweit am häufigsten eingesetzten Webserver, hat diese Woche einen Patch erhalten – obwohl die Schwachstelle bereits seit 2008 existiert. Der Fehler (CVE-2026-42945) mit einem CVSS-Score von 9,2 betrifft einen Heap-Buffer-Overflow in der ngx_http_rewrite_module und kann zu Denial-of-Service-Angriffen führen. Besonders besorgniserregend: Auf Systemen ohne aktivierte Address Space Layout Randomization (ASLR) ist sogar Remote Code Execution möglich. Veröffentlichte Proof-of-Concept-Codes ermöglichen es Angreifern nun, die Schwachstelle auszunutzen. Dies ist ein erhebliches Risiko für deutsche Unternehmen und Behörden, deren Infrastrukturen häufig auf NGINX basieren – von E-Commerce-Plattformen über Content-Delivery-Networks bis zu internen Webanwendungen. Die sofortige Aktualisierung auf die gepatchten Versionen NGINX Plus 37.0.0 oder die Open-Source-Versionen 1.31.0 und 1.30.1 ist dringend erforderlich, um Datenverluste, Systemausfälle oder unbefugten Zugriff zu verhindern. Besonders kritisch für Organisationen, die Rewrite- und Set-Direktiven verwenden.

Die Lücke CVE-2026-42945 offenbart ein fundamentales Problem, das über anderthalb Dekaden unbemerkt blieb: Ein Heap-Buffer-Overflow in der Rewrite-Komponente von NGINX, der durch die Verwendung von Rewrite- und Set-Direktiven ausgelöst werden kann. Der Fehler entsteht durch einen zweistufigen Prozess im Script-Engine – erst wird die erforderliche Puffergröße berechnet, dann werden Daten kopiert. Zwischen den zwei Durchläufen ändert sich der interne Motorstatus, was bei Rewrite-Replacements mit Fragezeichen ("?") zu einer zu kleinen Pufferallokation führt.

Wie die Sicherheitsfirma Depthfirst erklärt, können Angreifer durch das Auffüllen der Request-URI mit Pluszeichen die Escape-Funktion dazu bringen, jedes Byte in drei Bytes zu expandieren – was zum Overflow führt. Die Größe des Overflows lässt sich durch die Anzahl der escap­baren Zeichen komplett kontrollieren. Besonders tückisch: Null-Bytes können nicht für den Overflow verwendet werden, was RCE-Angriffe deutlich erschwert, aber nicht unmöglich macht.

Wissenschaftler von Depthfirst haben demonstriert, wie ein Exploit funktionieren könnte: Durch gezieltes “Heap Feng Shui” lässt sich ein benachbartes ngx_pool_t-Cleanup-Pointer korrumpieren, indem POST-Body-Daten genutzt werden. Dies leitet die Ausführung zu einer gefälschten ngx_pool_cleanup_s um, die beim Pool-Abbau Systembefehle ausführt.

Die schnelle Veröffentlichung des PoC-Codes verschärft die Situation erheblich. Während Administratoren normalerweise einige Tage haben, um Patches einzuspielen, wird die Bedrohung durch den öffentlich verfügbaren Exploit unmittelbar. Deutsche IT-Sicherheitsverantwortliche sollten sofort überprüfen, ob ihre NGINX-Installationen betroffen sind und verfügbare Patches einspielen: NGINX Plus-Nutzer sollten auf Version 37.0.0 oder die entsprechenden R36/R32-Patches aktualisieren, Open-Source-Nutzer auf 1.31.0 oder 1.30.1.

Das BSI empfiehlt allen betroffenen Organisationen sofortige Maßnahmen. Für Unternehmen, die personenbezogene Daten verarbeiten, ist die DSGVO-Meldepflicht relevant – ein erfolgreicher Exploit könnte zu erheblichen Bußgeldern führen.

Ähnliche Artikel