Im ngx_http_rewrite_module von NGINX Open Source und NGINX Plus ermöglicht eine Schwachstelle nicht authentifizierten Angreifern aus dem Netz, die Server lahmzulegen. In Sonderfällen könnten sie sogar Schadcode einschleusen und ausführen. Erste Angriffe wurden bereits beobachtet.

Eine Sicherheitsmeldung von F5 erörtert die Sicherheitslücke. Die Schwachstelle im Rewrite-Modul lässt sich missbrauchen, wenn einer Rewrite-Direktive eine rewrite-, if– oder set-Direktive und eine Perl-kompatible Regular Expression folgt, die Ersetzung mit einem Ausdruck mit einem „?“ darin vornimmt. Dann können Angreifer aus dem Netz ohne vorherige Anmeldung mit manipulierten Paketen einen Heap-basierten Pufferüberlauf im NGINX-Worker-Prozess auslösen, der zu einem Neustart führt (Denial of Service, DoS). In dem unwahrscheinlichen Fall, dass die Address Space Layout Randomization (ASLR) deaktiviert ist, kann das sogar zur Ausführung von eingeschleustem Code führen (CVE-2026-42945, CVSS 8.1, Risiko „hoch“; CVSS4 9.2, Risiko „kritisch“). Die modernere Schwachstellenbewertung kommt zu einer höheren Risikoeinschätzung.

Die Lücke ist gut abgehangen, der verantwortliche Programmcode hat die Volljährigkeitsgrenze überschritten: 18 Jahre hat er auf dem Buckel. Ein Proof-of-Concept-Exploit (PoC) demonstriert den Missbrauch der „NGINX Rift“-Schwachstelle. VulnCheck gibt auf LinkedIn an, inzwischen aktiven Missbrauch der Sicherheitslücke in freier Wildbahn beobachtet zu haben. Im Regelfall führt das zu einem DoS gegen verwundbare Server, von denen laut VulnCheck 5,7 Millionen im Internet erreichbar sind.

Weitere Sicherheitslücken in NGINX OSS und Plus

In NGINX OSS und Plus sind noch weitere Schwachstellen entdeckt worden, die jedoch eine deutlich geringere Risikoeinschätzung aufweisen. Im HTTP/3-QUIC-Modul gibt es eine Spoofing-Lücke (CVE-2026-40460, CVSS 6.5, Risiko „mittel“). ngx_http_scgi_module und ngx_http_uwsgi_module können exzessiv Speicher belegen oder Daten preisgeben (CVE-2026-42946, CVSS 6.5, Risiko „mittel“). Weitere Schwachstellen betreffen den HTTP/2-Proxy-Modus (CVE-2026-42926, CVSS 5.8, Risiko „mittel“), das ngx_http_charset_module (CVE-2026-42934, CVSS 4.8, Risiko „mittel“) und das ngx_http_ssl_module (CVE-2026-40701, CVSS 4.8, Risiko „mittel“).

Nicht alle Lücken betreffen alle NGINX-OSS- und -Plus-Versionen, jedoch sind die jüngsten Fassungen mit Korrekturen für die jeweils enthaltenen Schwachstellen ausgerüstet. F5 nennt die Versionen NGINX Plus 37.0.0, R36 P4 und R32 P6, NGINX Open Source 1.31.0 und 1.30.1 (0.xer-Versionen erhalten keinen Fix) und weitere, die die sicherheitsrelevanten Fehler ausbessern. Für mehrere Lösungen hat F5 jedoch noch keine Fixes zur Hand, beispielsweise NGINX Instance Manager, NGINX App Protect WAF und weiteren. Insbesondere für die bereits attackierte Sicherheitslücke nennt F5 in der Mitteilung aber auch Anpassungen für Rewrite-Regeln, die die Schwachstellen nicht aufweisen.

Zuletzt fielen eher Sicherheitslücken im Web-Interface Nginx UI auf. Die haben Angreifern etwa ermöglicht, ganze Instanzen zu übernehmen.

(dmk)

Bei einem Cyberangriff auf die Arbeitsgemeinschaft Wirtschaftlichkeitsprüfung Niedersachsen (Arwini e. V.) sind nach Angaben der Polizeidirektion Hannover Daten aus dem System der Prüfstelle abgeflossen. Arwini verarbeitet Gesundheits- und Abrechnungsdaten gesetzlich Versicherter in Niedersachsen und prüft im Auftrag der gesetzlichen Krankenkassen und der Kassenärztlichen Vereinigung Niedersachsen (KVN) die Wirtschaftlichkeit ärztlicher Verordnungen. Hinter der Attacke steckt die Ransomware-Gruppe „Kairos“, wie die Polizei heise online bestätigte.

Zuerst hatte die „Hannoversche Allgemeine Zeitung“ (HAZ) über den Vorfall berichtet.

Bis zu 75.000 Datensätze betroffen

Arwini hatte erklärt, dass im schlimmsten Fall bis zu 75.000 Datensätze betroffen sein könnten. Auf Anfrage von heise online antwortete der externe Datenschutzbeauftragte des Unternehmens, Jürgen Recha, dass noch unklar sei, ob und welche Daten überhaupt abgeflossen seien. Die Authentizität der Beispielposts auf der Leaksite der Ransomware-Gruppe „Kairos“ könne Recha nicht beurteilen. Zur konkreten Datenhaltung und technischen Verarbeitung machte Arwini ebenfalls keine Aussagen. Die AOK teilte der HAZ mit, dass ihre eigenen Systeme nicht betroffen seien.

Nach Angaben eines Sprechers der Kassenärztlichen Vereinigung Niedersachsen (KVN) übermittelt die KVN quartalsweise pseudonymisierte Datensätze an die zuständige Prüfstelle. Patientendaten seien dabei anonymisiert. Enthalten seien jedoch arztbezogene Daten wie Arztnummern und Betriebsstättennummern, damit die Prüfstelle wirtschaftliche Auffälligkeiten einzelnen Praxen zuordnen könne. Die Identität von Ärzten und Praxen sei daher nachvollziehbar. Aus einer Prüfvereinbarung von 2022 geht hervor, dass im Zweifel auch weitere Informationen, etwa die Versichertennummer, angefordert werden können.

Stand der Ermittlungen

„Kairos“ droht mit dem Verkauf eines 2,87 Terabyte großen Datensatzes, der seit dem 11. Mai auf der Leaksite der Gruppe gelistet ist. Die Größenordnung steht in auffälligem Kontrast zu den von Arwini genannten 75.000 möglicherweise betroffenen Datensätzen – ob die Angreifer tatsächlich Daten in diesem Umfang erbeutet haben, ist bislang nicht verifiziert. Auf der Leaksite sind auch Beispieldateien zu sehen, überwiegend Briefe zwischen Krankenkassen und Ärzten. Nach Angaben der Polizei stehen die Behörden wegen Kairos im internationalen Austausch – unter anderem mit spanischen Ermittlern.

Inzwischen ist auch eine Meldung über eine Datenschutzverletzung beim Landesbeauftragten für den Datenschutz in Niedersachsen eingegangen. Ob die Meldung fristgerecht erfolgt sei, werde derzeit geprüft. Die Behörde verweist auf Nachfrage zudem auf die Informationspflichten gegenüber Betroffenen. Menschen, deren Daten möglicherweise betroffen sind, müssten „unverzüglich“ informiert werden, wenn ein voraussichtlich hohes Risiko für ihre Rechte und Freiheiten bestehe – sofern keine Ausnahmen nach Artikel 34 der Datenschutz-Grundverordnung (DSGVO) greifen.

(mack)

Die Gespräche in dem kleinen Raum im Berliner Hilton-Hotel verstummen, alle starren auf einen der drei laptopbestückten Tische. An ihm sitzen zwei Männer, einer trägt Ohrstöpsel, und blicken hoch konzentriert auf die Bildschirme. Dann ein gutturaler Schrei: Sina Kheirkhah springt auf und schlägt erleichtert die Hände vors Gesicht. Er hat gerade erfolgreich einen Exploit gegen Claude Code ausgeführt und damit 40.000 US-Dollar verdient. Denkt er zumindest zu diesem Zeitpunkt noch.

Doch später stellt sich heraus: Die von Kheirkhah, Mitglied des „Summoning Teams“ gefundene Sicherheitslücke war Claude-Hersteller Anthropic bereits bekannt und seine Belohnung reduziert sich auf ein Viertel. Hauptsächlich durch massenhafte Funde von Sicherheitslücken per KI gab es in diesem Jahr 42 Prozent mehr (10 statt 7) dieser Dubletten, also bereits beim Hersteller bekannte Sicherheitslücken.

KI als ausführendes Organ

Es gab auch Rückzieher und nicht funktionierende Exploits – womöglich wegen größerer Sicherheitsupdates kurz vor der Veranstaltung. Sowohl der Microsoft-Patchday als auch ein umfangreiches Firefox-Update lagen erst wenige Tage zurück, hatten offenbar einige Sicherheitslücken unschädlich gemacht und somit für den Wettbewerb verbrannt. Im Gespräch mit heise security sah Brian Gorenc von ZDI in den Kollisionen ein gutes Zeichen: Viele Software-Hersteller fänden dieselben Sicherheitslücken wie professionelle Lücken-Sucher mittlerweile automatisiert mittels KI, sagte der Experte.

Und auch dank KI-Hilfe – denn die war Teilnehmenden genauso gestattet wie die Videokonferenz mit den heimischen Kollegen – gab es genügend neue Zero-Days, nämlich 47 an der Zahl. Die ZDI zahlte insgesamt 1.298.250 US-Dollar an Preisgeldern aus und schenkte traditionsgemäß den erfolgreichen Teilnehmern die Laptops, auf denen sie die Exploits vorgeführt hatten („Pwn to own“).

Der Gewinner der diesjährigen Veranstaltung war das DEVCORE-Team: Ein Preisgeld von 505.000 US-Dollar, fast die Hälfte des Gesamtpreises, ging an die Taiwanesen. Sie brachten einen Exploit für die Microsoft-Produkte Sharepoint, Edge und Exchange mit nach Berlin – der Exchange-Exploit erlaubte gar die komplette Übernahme des Servers. Entdecker Orange Tsai sagte im Interview, der Exploitcode sei KI-generiert, basiere aber auf seiner Idee und seinen Anweisungen.

Auf die Sicherheitslücke am Rand des „Disclosure Rooms“, des zutrittsbeschränkten Raums für die Bestätigung der Exploits, angesprochen, gaben die anwesenden Mitarbeiter von Microsofts Security Response Center (MSRC) sich wortkarg. Der Fehler sei „interessant“ und neu, gaben sie immerhin zu Protokoll, und Moderator Dustin Childs mutmaßte, es werde wohl in Redmond eine kurzfristig anberaumte Nachtschicht zum Bugfixing geben.

Die Pwn2Own findet jährlich statt und war 2026 wieder am Rande der Sicherheitskonferenz OffensiveCon angesiedelt. Im Vorfeld hatten die Ausrichter viele Teilnahmewillige ablehnen müssen – es fehlte schlicht an Zeitslots für die vielen, häufig KI-generierten Wettbewerbsbeiträge. Alle gefundenen Sicherheitslücken stellt die Zero Day Initiative den betroffenen Herstellern kostenlos zur Verfügung.

(cku)