NGINX Rift: 18-jährige Sicherheitsanfälligkeit im weltweit am häufigsten eingesetzten Webserver wird aktiv ausgenutzt
Kritische Verwundbarkeit CVE-2026-42945, die seit 2008 im NGINX vorhanden ist, wurde drei Tage nach Veröffentlichung eines Proof of Concept aktiv ausgenutzt. Betroffen sind alle Versionen zwischen 0.6.27 und 1.30.0, die 32,8 % der globalen Webserver repräsentieren.
Fünf Tage waren ausreichend. Am 13. Mai 2026 gaben F5 und die Forschungsgesellschaft depthfirst die CVE-2026-42945 bekannt, die als "NGINX Rift" bezeichnet wird, eine kritische Heap-Buffer-Overflow-Sicherheitsanfälligkeit im NGINX-Rewrite-Modul. Ein Proof of Concept-Code wurde am selben Tag veröffentlicht. Laut VulnCheck wurden bereits am 16. Mai aktive Ausbeutungsversuche festgestellt, drei Tage nach der Veröffentlichung, und HelpNetSecurity bestätigte die Ausbeutung im Feld am 18. Mai 2026. Das Zeitfenster zwischen der Veröffentlichung des Exploits und dem Angriff in der Produktion verkleinerte sich auf weniger als eine Woche.
Der Umfang des Problems ist erheblich. Laut W3Techs machte NGINX im März 2026 32,8 % aller erfassten Webserver aus und hielt damit die Führung vor Apache mit 24,1 %. Das gesamte Universum dieser Server, einschließlich NGINX Plus von R32 bis R36, war einem Fehler ausgesetzt, der 2008 in NGINX 0.6.27 eingeführt wurde, also vor 18 Jahren.
Die Mechanik des Fehlers
Die CVE-2026-42945 befindet sich im Modul ngx_http_rewrite_module, dem Bestandteil, der für die Verarbeitung von URL-Rewrite-Direktiven zuständig ist. Der Fehler tritt auf, wenn eine Regel eine nicht benannte PCRE-Erfassung vom Typ $1 oder $2 mit einem Fragezeichen im Ersetzungstext kombiniert. Die Skriptsprache berechnet die Größe des Zielpuffers mit einer Escape-Methode und führt die Schreibvorgänge mit einer anderen, inkompatiblen Methode aus. Zeichen wie +, % und & erweitern sich in der zweiten Phase und verursachen ein Schreiben über die Grenzen des zugewiesenen Heaps hinaus, ohne dass eine vorherige Authentifizierung durch den Angreifer erforderlich ist.
Die CVSS v4 der Verwundbarkeit liegt bei 9,2 und die CVSS v3.1 bei 8,1. In Standardkonfigurationen führt dies zu einem Denial of Service durch eine einzige fehlerhaft formatierte HTTP-Anfrage. Der Forscher Kevin Beaumont und VulnCheck warnten, dass, falls der Angreifer ASLR auf dem Zielserver deaktivieren kann, der Fehler auf die Remote-Code-Ausführung ohne Credential-Anforderungen eskaliert werden könnte.
Der lange Lebenszyklus des Fehlers lässt sich durch den betroffenen Code-Pfad erklären, der eine bestimmte Kombination von Direktiven erfordert, die in den Referenzkonfigurationen der offiziellen Dokumentation fehlt. Administratoren, die Standardbeispiele repliziert haben, aktivierten dieses Rewrite-Modul nie auf diese Weise und blieben zufällig 18 Jahre lang geschützt.
Betroffene Versionen und Behebung
Das Exposure-Fenster umfasst alle Versionen von NGINX Open Source zwischen 0.6.27 und 1.30.0 sowie NGINX Plus R32 bis R36. F5 veröffentlichte Patches in den Versionen 1.30.1 in der stabilen Branch und 1.31.0 in der Mainline-Branch am Veröffentlichungstag, dem 13. Mai. Für Teams ohne sofortige Wartungsfenster gibt es eine konfigurierbare Minderung: Ersetzen Sie nicht benannte PCRE-Erfassungen durch benannte Erfassungen in den betroffenen rewrite-Direktiven, um die Bedingung zu beseitigen, die zum Overflow führt.
Kubernetes-Umgebungen, die ingress-nginx, den am häufigsten verwendeten NGINX-basierten Ingress-Controller im Ökosystem, betreiben, befinden sich im gleichen Exposure-Radius. Der Controller verarbeitet URL-Rewrites als zentrale Funktion, und Standardinstallationen von ingress-nginx mit konfigurierten Rewrite-Direktiven sind dem gleichen Vektor ausgesetzt. Plattformadministratoren müssen in das Behebungsinventar auch die in Container-Images und Helm-Charts eingebetteten NGINX-Versionen aufnehmen, nicht nur die direkten Installationen im Betriebssystem.
Ein Fenster, das für viele bereits geschlossen ist
Der Zeitraum von drei Tagen zwischen der Bekanntgabe und den ersten von VulnCheck dokumentierten Ausbeutungen steht im Gegensatz zum durchschnittlichen Zeitraum von 5 bis 15 Tagen, der bei kritischen Verwundbarkeiten neuester Serverinfrastruktur beobachtet wurde. Diese Information ist für Response-Teams relevant: Das sichere Bewertungsfenster vor massiven Ausbeutungen ist in dieser Vulnerabilitätsklasse praktisch verschwunden.
Plattformen zur Verwaltung der Angriffsfläche wie Axonius und Orca Security berichteten über NGINX-Instanzen, die fünf Tage nach dem Patch über das Internet zugänglich waren und noch nicht behoben waren. Dieses Muster ist üblich bei weit verbreiteten Komponenten der Webinfrastruktur: veraltete Versionen sammeln sich in eingefrorenen Container-Images, in CI/CD-Pipelines, die keine Aktualisierung der Basis-Images durchsetzen, und in Servern, die vor der Annahme moderner Praktiken des Schwachstellenmanagements bereitgestellt wurden. Für Organisationen, die Softwareplattformen für Kunden betreiben, macht NGINX Rift eine umfassende Bestandsaufnahme der Versionen dieses Servers dringend notwendig, einschließlich derjenigen, die in Build-Artefakten vorhanden sind, und nicht nur derjenigen, die aktuell ausgeführt werden.