SchwachstellenHackerangriffeCloud-Sicherheit

NGINX-Schwachstelle CVE-2026-42945 wird aktiv ausgenutzt – Abstürze und mögliche Fernzugriffe drohen

Von CyberDeutsch Redaktion
NGINX-Schwachstelle CVE-2026-42945 wird aktiv ausgenutzt – Abstürze und mögliche Fernzugriffe drohen
Zusammenfassung

Eine kritische Sicherheitslücke in NGINX wird derzeit aktiv von Cyberkriminellen ausgenutzt. Die als CVE-2026-42945 katalogisierte Schwachstelle betrifft NGINX Plus und NGINX Open in den Versionen 0.6.27 bis 1.30.0 und weist einen kritischen CVSS-Score von 9,2 auf. Bei dem Fehler handelt es sich um einen Heap-Buffer-Overflow im ngx_http_rewrite_module, der bereits seit 2008 in dem Code existiert. Angreifer können durch speziell präparierte HTTP-Anfragen Worker-Prozesse zum Absturz bringen oder potenziell Remote-Code-Execution ermöglichen – wobei letzteres voraussetzt, dass die Sicherheitsmaßnahme ASLR (Address Space Layout Randomization) auf dem System deaktiviert ist. Die Tatsache, dass Exploits bereits in der Praxis eingesetzt werden, macht die Lücke zu einer unmittelbaren Bedrohung. Für deutsche Unternehmen und Behörden, die NGINX als Webserver oder Reverse Proxy einsetzen, stellt dies ein erhebliches Risiko dar – insbesondere in kritischen Infrastrukturen und bei webgestützten Anwendungen. Eine sofortige Aktualisierung auf gepatchte Versionen wird dringend empfohlen, um sich vor aktiven Angriffsversuchen zu schützen.

Die Heap-Buffer-Overflow-Schwachstelle in ngx_http_rewrite_module stellt eine ernsthafte Bedrohung für NGINX-Deployments dar. Sicherheitsforscher Kevin Beaumont betont jedoch, dass die erfolgreiche Ausnutzung spezifische Voraussetzungen erfüllen muss: Ein attraktives Ziel für Angreifer ist zunächst die Kenntnis oder Entdeckung der exakten NGINX-Konfiguration des Zielservers notwendig.

Zum Remote-Code-Execution (RCE) kommt ein weiteres Hindernis hinzu – die Address Space Layout Randomization (ASLR) muss deaktiviert sein, eine Schutzmaßnahme gegen speicherbasierte Angriffe, die standardmäßig auf modernen Linux-Systemen aktiv ist. Die Maintainer von AlmaLinux bewerten die Situation differenziert: Zwar sei es nicht trivial, den Heap-Overflow in zuverlässigen Code-Execution umzuwandeln, besonders auf Systemen mit aktivierter ASLR, aber “nicht trivial” bedeute nicht “unmöglich”. Sie empfehlen dennoch, die Schwachstelle als dringend zu behandeln, da bereits Denial-of-Service-Angriffe durch Worker-Crashes realistische Bedrohungen darstellen.

Die Exploitierungsaktivitäten deuten auf organisierte Angreifer hin. VulnCheck-Forscher beobachteten Angriffe von einer chinesischen IP-Adresse, die ein angepasstes Implementierung des KI-Vulnerability-Discovery-Tools Vulnhuntr zu verwenden scheint. Diese automatisierte Methode scannt systematisch nach anfälligen NGINX-Installationen, um anschließend PHP-Web-Shells einzuschleusen.

F5, der Maintainer von NGINX, hat bereits Patches bereitgestellt. Deutsche Administratoren sollten umgehend ihre NGINX-Installationen überprüfen und aktualisieren. Die DSGVO-Relevanz ist offensichtlich: Ein erfolgreicher Exploit könnte zu Datenzugriffen und somit zu Meldepflichten gegenüber dem Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) führen, mit möglichen Bußgeldern bis 4% des Jahresumsatzes.

Das BSI sollte baldige Empfehlungen herausgeben. Unternehmen, die kritische Dienste auf NGINX betreiben, sollten eine Notfall-Patch-Strategie einleiten und verstärkte Überwachung von Web-Traffic aktivieren.

Ähnliche Artikel