Eine neu gemeldete Null-Tage-Verwundbarkeit auf NGINX Plus und NGINX Open, identifiziert als CVE-2026-42945, wird in der realen Umgebung nur wenige Tage nach ihrer Veröffentlichung aktiv genutzt, nach Forschungsberichten. Das ist ein Pufferüberlauf in Losen (Hap Pufferüberlauf) im ngx _ http _ rewrite _ Modulmodul, auf Code zurückzuführen, dass nach forensischer Analyse vor Jahren eingeführt wurde und beeinflusst eine breite Palette von historischen Versionen von NGINX. Das Risiko wird als hoch angesehen (CVSS ~ 9.x), weil ein nicht authentifizierter Angreifer den Fall von Worker-Prozessen verursachen kann und sogar in bestimmten Situationen Remote-Code-Ausführung erreichen kann.
Es ist wichtig, zwei technische Szenarien zu unterscheiden, die die praktische Schwerkraft definieren: einerseits gibt es eine Denial of service (DoS) der Arbeiter, auf der anderen Seite die Remotecode Ausführung (CERs) Es ist theoretisch möglich, erfordert aber zusätzliche Bedingungen - insbesondere, dass ASLR (Address Space Layout Randomization) deaktiviert werden - und dass der Angreifer eine bestimmte NGINX-Konfiguration kennt oder entdeckt, die das Rewrite-Modul ausnutzbar macht. In modernen und gut konfigurierten Umgebungen ist ASLR in der Regel standardmäßig aktiv, was die Umwandlung des Überlaufs in eine stabile Explosion erschwert, obwohl es nicht unmöglich macht.
Die praktischen Folgen variieren je nach Einsatz: Für öffentliche Webserver kann die Möglichkeit, einen kontinuierlichen Wiederanlauf von Arbeitnehmern zu verursachen, Dienste und offene Fenster für spätere Angriffe abbauen; für Infrastrukturen, die mit Automatisierungswerkzeugen oder Containern verwaltet werden, kann die Kombination dieses Ausfalls mit externen Konfigurationsschwächen (z.B. unzureichende Zugriffskontrollen) Seitenbewegungen und Ausdauer erleichtern. Darüber hinaus haben Forscher beobachtet, dass die Akteure begonnen haben, verletzliche Einrichtungen zu scannen und auszunutzen, was die Suche nach einer Betriebspriorität für Administratoren.
Parallel dazu hat das gleiche Untersuchungsteam die Ausbeutung gegen OpenDCIM, eine Open-Source-Anwendung für das Infrastrukturmanagement des Rechenzentrums, bei der mehrere kritische Fehler identifiziert wurden, die bis zu CERs in wenigen Schritten gekettet werden können. Wenn Ihre Organisation openDCIM verwendet, überprüfen Sie den Code und setzen Sie sofort; das Projekt ist in GitHub bei https: / / github.com / samilliken / openDCIM und es ist angemessen, die Version mit Patches zu vergleichen, die durch vorübergehende Wartung oder Minderung veröffentlicht werden.
Um die technische Antwort zu priorisieren, beginnen Sie mit offizielle Patches anwenden sobald sie für Ihre NGINX-Variante verfügbar sind. F5, das NGINX seit seinem Erwerb beibehalten hat, veröffentlicht Mitteilungen und Patches; es ist auch ratsam, die Datenbank der öffentlichen Sicherheitslücken im NVD für Querverweise und Details der CVE in https: / / nvd.nist.gov /. Wenn Sie nicht sofort parken können, implementieren Sie Minderungen, wie den Zugriff auf betroffene Instanzen aus dem Internet zu beschränken, WAF-Regeln anzuwenden, um verdächtige Nachfragemuster auf das Umschreiben-Modul zu blockieren und kritische Systeme zu isolieren.
Überprüfen und stärken Sie den Systemspeicherschutz: Überprüfen Sie den ASLR-Status mit dem Kernel-Befehl (z. sysctl kernel) und, falls es aus irgendeinem Grund in Produktionssystemen behindert ist, sysctl -w kernel. Randomize _ va _ Raum = 2. Während die Aktivierung von ASLR das Patch nicht ersetzt, reduziert es die Wahrscheinlichkeit eines erfolgreichen Betriebs, der Überlauf in Codeausführung verwandelt.
Audit NGINX Konfigurationen durch die Suche nach komplexen Regeln in ngx _ http _ rewrite _ Modul und ungewöhnliche Muster, die das Ziel von manipulierten Anträgen sein können; die Explosion erfordert das Wissen oder die Entdeckung von gefährdeten Einstellungen, so eine Überprüfung und Vereinfachung der Neuschreiben Regeln kann das Risiko abmildern. Kontrollieren Sie auch Zugriffs- und Fehlerprotokoll, um ungewöhnliche Anfragen zu erkennen, die auf das erneute Schreiben von Endpunkten und Web-Shells oder Remote-Befehls-Lastversuchen gerichtet sind.
Im Falle von openDCIM und ähnlichen Web-Anwendungen gilt das Prinzip von weniger Privilegien: den administrativen Zugriff auf Management-Netzwerke beschränken, Umgebungsvariablen wie REMOTE _ USER deaktivieren, ohne Authentifizierungskontrollen in Docker-Umgebungen, und voll validieren oder heilen Parameter, die an Systeme oder Befehle übergeben werden können, wie den in den Untersuchungen identifizierten "dot" Parameter. Die Dateiintegritätsprüfung und die ausgehende Ausgabesteuerung (z.B. Rückwärtsverbindungen) helfen, Web Shells frühzeitig zu erkennen.
Schließlich denken Sie daran, dass Angreifer die Erkennung dieser Schwachstellen mit Werkzeugen automatisieren, die künstliche Intelligenz Fähigkeiten enthalten, so dass Versuche zur Ausbeutung schnell skaliert werden können. Bewahren Sie einen Antwortplan, der Patches, temporäre Netzwerkblöcke, forensische Analyse enthält, wenn Sie das Engagement und die Kommunikation auf zufällige Antwortteams erkennen. Für weitere technische Dokumentationen zur ASLR- und Speicherbetriebsbegrenzung siehe allgemeine Quellen wie Wikipedia-Eintrag auf Address Space Layout Randomization in https: / / en.wikipedia.org / wiki / Adresse _ layout _ randomization und die NGINX Sicherheitsführung in https: / / nginx.org /.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...