Over het afgelopen weekend zijn de eerste aanvallen in het wild gemeld die misbruik maken van een kritieke kwetsbaarheid in NGINX, die vorige week werd gepatcht, waarschuwt VulnCheck. De kwetsbaarheid, geregistreerd als CVE-2026-42945 met een CVSS-score van 9.2 en ook wel Nginx Rift genoemd, betreft een heap buffer overflow in de ngx_http_rewrite_module. Deze fout zat al 16 jaar in de NGINX-code verborgen.

Kort nadat F5 patches uitbracht voor deze kwetsbaarheid, publiceerde het beveiligingsbedrijf Depthfirst technische details en proof-of-concept (PoC) code die de kwetsbaarheid aanvalt. Inmiddels stelt VulnCheck dat kwaadwillenden de kwetsbaarheid al actief uitbuiten. Onderzoeker Patrick Garrity van VulnCheck meldt: "We zien actieve exploitatie van CVE-2026-42945 in F5 NGINX, een heap buffer overflow die zowel NGINX Plus als NGINX Open Source treft, slechts enkele dagen na publicatie van de CVE." De kwetsbaarheid ontstaat doordat de scriptengine een tweepassige methode gebruikt om bufferlengte te bepalen en data te kopiëren, terwijl de interne status van de engine tussen deze passes verandert. Onder bepaalde omstandigheden leidt een niet-gepropagandeerde vlag ertoe dat door de aanvaller aangeleverde data buiten de heapgrens wordt geschreven.

Bij standaardconfiguraties veroorzaakt succesvolle exploitatie een serverherstart, wat resulteert in een denial-of-service (DoS). Wanneer Address Space Layout Randomization (ASLR) is uitgeschakeld, kan de kwetsbaarheid leiden tot remote code execution (RCE). Volgens VulnCheck kan de bug op afstand en zonder authenticatie worden misbruikt via speciaal opgezette HTTP-verzoeken, mits een specifieke rewrite-configuratie aanwezig is. Hoewel het relatief eenvoudig is om met één verzoek het NGINX-workerproces te laten crashen, is het verkrijgen van RCE lastiger omdat de meeste omgevingen standaard ASLR ingeschakeld hebben.

Met behulp van een Censys-zoekopdracht identificeerde VulnCheck ongeveer 5,7 miljoen internet-blootgestelde NGINX-servers die mogelijk kwetsbare versies draaien, al is het daadwerkelijke aantal exploiteerbare systemen waarschijnlijk veel lager. Beveiligingsonderzoekers waarschuwen dat de kwetsbaarheid onmiddellijke aandacht vereist en dat bredere exploitatiepogingen te verwachten zijn, vooral nu de publieke PoC-code ook gebruikt kan worden om ASLR uit te schakelen en zo RCE te realiseren.