Volgens VulnCheck wordt een nieuw onthuld beveiligingslek met gevolgen voor NGINX Plus en NGINX Open enkele dagen na de publieke onthulling actief in het wild uitgebuit.
De kwetsbaarheid, bijgehouden als CVE-2026-42945 (CVSS-score: 9.2), is een heapbufferoverflow in ngx_http_rewrite_module die NGINX-versies 0.6.27 tot en met 1.30.0 treft. Volgens het AI-native beveiligingsbedrijf DepthFirst werd de kwetsbaarheid in 2008 geïntroduceerd.
Succesvol misbruik van de fout kan een niet-geverifieerde aanvaller in staat stellen werkprocessen te laten crashen of externe code uit te voeren met vervaardigde HTTP-verzoeken. Er moet echter worden opgemerkt dat het uitvoeren van code alleen mogelijk is op apparaten waarop Address Space Layout Randomization (ASLR), een beveiliging tegen geheugengebaseerde aanvallen, is uitgeschakeld.
“Het is afhankelijk van een specifieke NGINX-configuratie om kwetsbaar te zijn, en dat een aanvaller de configuratie kent of ontdekt om er misbruik van te kunnen maken”, aldus beveiligingsonderzoeker Kevin Beaumont. “Om RCE (executie van externe code) te bereiken, moet ook ASLR op de box zijn uitgeschakeld.”
In een soortgelijke beoordeling zeiden de beheerders van AlmaLinux: “Het omzetten van de heap overflow in betrouwbare code-uitvoering is niet triviaal in de standaardconfiguratie, en op systemen waarop ASLR is ingeschakeld (wat de standaard is op elke ondersteunde AlmaLinux-release), verwachten we niet dat een generieke, betrouwbare exploit gemakkelijk te produceren is.”
“Dat gezegd hebbende, ‘niet gemakkelijk’ is niet ‘onmogelijk’, en de worker-crash DoS is op zichzelf voldoende exploiteerbaar dat we aanbevelen dit als urgent te behandelen,” voegden de beheerders eraan toe.
De nieuwste bevindingen van VulnCheck laten zien dat bedreigingsactoren de fout zijn gaan bewapenen, waarbij exploitatiepogingen zijn gedetecteerd tegen de honeypot-netwerken. De aard van de aanvalsactiviteit en de einddoelen zijn momenteel onbekend. Gebruikers wordt geadviseerd de nieuwste oplossingen van F5 toe te passen om hun netwerken te beveiligen tegen actieve bedreigingen.
Gebreken in openDCIM worden ook uitgebuit
De ontwikkeling komt op het moment dat VulnCheck ook exploitatie-inspanningen aan het licht bracht die gericht waren op twee kritieke tekortkomingen in openDCIM, een open-source applicatie die wordt gebruikt voor het beheer van de datacenterinfrastructuur. De kwetsbaarheden, beide beoordeeld met een 9,3 op het CVSS-scoresysteem, worden hieronder vermeld:
- CVE-2026-28515 – Een ontbrekende autorisatiekwetsbaarheid waardoor een geverifieerde gebruiker toegang kan krijgen tot de LDAP-configuratiefunctionaliteit, ongeacht de toegewezen rechten. In Docker-implementaties waarbij REMOTE_USER is ingesteld zonder verificatieafdwinging, is het eindpunt mogelijk bereikbaar zonder inloggegevens, waardoor ongeautoriseerde wijziging van de applicatieconfiguratie mogelijk is.
- CVE-2026-28517 – Een kwetsbaarheid voor opdrachtinjectie in het besturingssysteem die gevolgen heeft voor de component “report_network_map.php”, die een parameter met de naam “dot” zonder opschoning verwerkt en deze rechtstreeks doorgeeft aan een shell-opdracht, wat resulteert in de uitvoering van willekeurige code.
De twee kwetsbaarheden werden in februari 2026 ontdekt naast CVE-2026-28516 (CVSS-score: 9,3), een kwetsbaarheid voor SQL-injectie in openDCIM, door VulnCheck-beveiligingsonderzoeker Valentin Lobstein. Volgens Lobstein kunnen de drie tekortkomingen aan elkaar worden gekoppeld om code-uitvoering op afstand via vijf HTTP-verzoeken mogelijk te maken en een omgekeerde shell te creëren.
“De cluster van aanvallersactiviteit die we tot nu toe waarnemen is afkomstig van een enkel Chinees IP-adres en maakt gebruik van wat een aangepaste implementatie lijkt te zijn van de AI-vuln-discovery tool Vulnhuntr om automatisch te controleren op kwetsbare installaties voordat een PHP-webshell wordt verwijderd”, zegt Caitlin Condon, vice-president van beveiligingsonderzoek bij VulnCheck.
