SchwachstellenHackerangriffeCyberkriminalität

NGINX-Lücke CVE-2026-42945 wird bereits aktiv ausgenutzt – deutsche Systeme gefährdet

Von CyberDeutsch Redaktion
NGINX-Lücke CVE-2026-42945 wird bereits aktiv ausgenutzt – deutsche Systeme gefährdet
Zusammenfassung

Eine kritische Sicherheitslücke im weit verbreiteten Webserver NGINX wird bereits aktiv ausgenutzt. Die mit CVE-2026-42945 bezeichnete Schwachstelle ist ein Heap-Buffer-Overflow im Rewrite-Modul, das sich seit 16 Jahren unentdeckt im Code verbarg und mit dem CVSS-Score 9.2 als kritisch eingestuft wird. Sicherheitsforscher von VulnCheck bestätigten am Wochenende erste Angriffe im Internet, nur Tage nachdem F5 Patches veröffentlichte und Depthfirst Proof-of-Concept-Code veröffentlichte. Auf Standard-Konfigurationen führt erfolgreiche Ausnutzung zu Denial-of-Service-Angriffen durch Server-Neustarts; ist Address Space Layout Randomization (ASLR) deaktiviert, kann ein Angreifer Fernzugriff mit vollständigen Rechten (Remote Code Execution) erreichen. Betroffen sind sowohl NGINX Open Source als auch NGINX Plus, wobei schätzungsweise 5,7 Millionen internetexponierte NGINX-Server einer verwundbaren Version laufen. Für deutsche Unternehmen und Behörden ist dies besonders brisant: NGINX ist in Deutschland weit verbreitet, sei es als direkte Komponente oder in Cloud-Infrastrukturen. Die Lücke erfordert spezifische Rewrite-Konfigurationen und wird remote ohne Authentifizierung ausgenutzt, was eine breite Angriffsfläche schafft. Sofortige Patch-Anwendung ist essentiell.

Die Schwachstelle sitzt im ngx_http_rewrite_module von NGINX und wird durch einen Heap-Buffer-Overflow ausgelöst. Der technische Hintergrund: Die Script-Engine nutzt einen zweischrittigen Prozess, um die Puffergröße zu berechnen und Daten hineinzukopieren. Zwischen diesen beiden Phasen ändert sich der interne Engine-Status – was zu einem nicht weitergereichten Flag führt. Dies ermöglicht es Angreifern, Daten über die Heap-Grenzen hinaus zu schreiben.

Bereits am Wochenende nach der Veröffentlichung der Patches durch F5 meldete das Sicherheitsunternehmen VulnCheck aktive Exploits in freier Wildbahn. Der Forscher Patrick Garrity warnte: “Wir beobachten bereits aktive Ausnutzung von CVE-2026-42945 auf unseren Überwachungssystemen, nur Tage nach der Veröffentlichung des CVE.” Der Grund für die schnelle Reaktion: Das Sicherheitsunternehmen Depthfirst veröffentlichte bereits technische Details und funktionsfähigen Proof-of-Concept-Code.

Die praktischen Auswirkungen variieren je nach Systemkonfiguration. Bei Standard-Installationen führt eine erfolgreiche Ausnutzung zu einem Neustart des NGINX-Worker-Prozesses – ein Denial-of-Service-Szenario, das den Server für Benutzer lahmlegt. Kritischer wird es, wenn Address Space Layout Randomization (ASLR) deaktiviert ist: Dann ist Remote Code Execution möglich. VulnCheck schätzt, dass weltweit etwa 5,7 Millionen internetexponierte NGINX-Server potenziell anfällig sind, doch die tatsächlich ausnutzbare Population dürfte deutlich kleiner sein.

Die gute Nachricht: Die Ausnutzung erfordert eine spezifische Rewrite-Konfiguration und erfolgt über manipulierte HTTP-Anfragen. Allerdings ist das Crash eines Worker-Prozesses trivial zu erreichen – RCE erfordert mehr Aufwand. Dennoch warnen Experten vor rasanter Eskalation, zumal der öffentliche PoC auch zur Deaktivierung von ASLR genutzt werden kann.

Für deutsche Organisationen bedeutet das: Sofortiges Patching ist unerlässlich. Betriebssysteme und Patches müssen priorisiert werden. Das BSI wird voraussichtlich entsprechende Empfehlungen ausgeben. Unternehmen sollten zudem ihre NGINX-Konfigurationen überprüfen und ASLR aktiviert lassen.

Ähnliche Artikel