Sicherheitslücke wird ausgenutzt: Hacker greifen Nginx-Webserver an
Nur wenige Tage nachdem eine 18 Jahre alte Sicherheitslücke in der weit verbreiteten Webserver-Software Nginx bekannt wurde, scheint diese bereits aktiv ausgenutzt zu werden. Davor warnt der Vulncheck-Forscher Patrick Garrity in einem Beitrag auf Linkedin(öffnet im neuen Fenster). Admins sollten ihre Systeme also zügig patchen. Im schlimmsten Fall droht eine Kompromittierung des jeweiligen Servers.
Bei der besagten Sicherheitslücke handelt es sich um CVE-2026-42945(öffnet im neuen Fenster), auch bekannt als Nginx Rift(öffnet im neuen Fenster). Angreifer können damit bei bestimmten Konfigurationen einen Pufferüberlauf hervorrufen. Die Ursache liegt dabei im Nginx-Modul ngx_http_rewrite_module(öffnet im neuen Fenster). Ein Exploit ist öffentlich verfügbar.
DoS- und Schadcode-Attacken möglich
In dem meisten Fällen löst ein erfolgreicher Angriff lediglich einen Neustart des Nginx-Worker-Prozesses aus. Damit lässt sich CVE-2026-42945 leicht für DoS-Angriffe (Denial of Service) missbrauchen, da der jeweilige Webserver dadurch temporär unerreichbar ist.
In Einzelfällen soll sich allerdings auch Schadcode einschleusen lassen. Das setzt allerdings voraus, dass die Sicherheitsfunktion ASLR (Address Space Layout Randomization) inaktiv ist. Die ist jedoch auf allen gängigen Linux-Systemen standardmäßig aktiv, wie der Sicherheitsforscher Kevin Beaumont auf Mastodon klarstellt(öffnet im neuen Fenster). Schadcode-Attacken dürften also eher selten erfolgreich sein.
Millionen von Nginx-Servern am Netz
Ausnutzen lässt sich CVE-2026-42945 durch das bloße Übermitteln speziell gestalteter HTTP-Requests. Laut Garrity hat Vulncheck bereits entsprechende Ausnutzungsversuche beobachtet. In welchem Ausmaß diese Attacken stattfinden und wer genau dahinter steckt, beantwortet der Forscher in seinem Beitrag jedoch nicht.
Wie Vulncheck in einer separaten Meldung(öffnet im neuen Fenster) schreibt, erfassen die Scans von Censys weltweit aktuell mehr als 5,7 Millionen über das Internet erreichbare Nginx-Server. Die potenzielle Angriffsfläche ist damit groß. Bei wie vielen dieser Server tatsächlich eine anfällige Konfiguration vorliegt, ist allerdings nicht bekannt.
Als angreifbar gelten alle Nginx-Versionen von 0.6.27 bis einschließlich 1.30.0. Seit dem 13. Mai(öffnet im neuen Fenster) stehen die Versionen 1.30.1 und 1.31.0 zur Verfügung, die beide einen Patch gegen Nginx Rift enthalten. Wer seine Server entsprechend aktualisiert, ist damit vor möglichen Angriffen geschützt. Alternative Schutzmaßnahmen sind im Advisory des Nginx-Entwicklers F5 zu finden(öffnet im neuen Fenster).
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.