Según VulnCheck, una falla de seguridad recientemente revelada que afecta a NGINX Plus y NGINX Open se ha vuelto explotable en la naturaleza pocos días después de su publicación.
La vulnerabilidad, rastreada como CVE-2026-42945 (puntuación CVSS: 9.2), es un desbordamiento del búfer de montón en ngx_http_rewrite_module que afecta a las versiones de NGINX 0.6.27 a 1.30.0. Según la empresa de seguridad nativa de IA DepthFirst, la vulnerabilidad se introdujo en 2008.
La explotación exitosa de esta falla podría permitir que un atacante no autenticado bloquee el proceso de trabajo o potencialmente ejecute código remoto a través de una solicitud HTTP diseñada. Sin embargo, tenga en cuenta que la ejecución de código solo es posible en dispositivos donde la aleatorización del diseño del espacio de direcciones (ASLR), una protección contra ataques basados en memoria, está desactivada.
«Esta vulnerabilidad se basa en una configuración NGINX específica, que un atacante podría aprender o descubrir y explotar», dijo el investigador de seguridad Kevin Beaumont. «Para alcanzar RCE (Ejecución remota de código), ASLR también debe estar desactivado en la casilla».
En una revisión similar, un mantenedor de AlmaLinux dijo: «Convertir un desbordamiento del montón en una ejecución confiable de código no es trivial con la configuración predeterminada, y no esperamos que los sistemas con ASLR habilitado (el valor predeterminado en todas las versiones compatibles de AlmaLinux) faciliten la creación de un exploit genérico y confiable».
«Sin embargo, ‘no es fácil’ no significa ‘imposible’. El DoS de accidente laboral es suficientemente explotable por sí solo, por lo que recomendamos tratar esto como una emergencia», añadió el responsable.
Los últimos hallazgos de VulnCheck muestran que los atacantes están comenzando a utilizar esta falla como arma y están detectando intentos de explotar sus redes honeypot. Actualmente se desconoce la naturaleza y el objetivo final de la campaña. Recomendamos que los usuarios apliquen las últimas correcciones de F5 para proteger sus redes de amenazas activas.
Las fallas en openDCIM también pueden ser explotadas.
Este desarrollo se produce después de que VulnCheck revelara una campaña de explotación dirigida a dos fallas críticas en openDCIM, una aplicación de código abierto utilizada para la gestión de infraestructura de centros de datos. Ambas vulnerabilidades tienen una calificación de 9,3 en el sistema de puntuación CVSS y se enumeran a continuación.
CVE-2026-28515: una vulnerabilidad de autenticación insuficiente podría permitir a los usuarios autenticados acceder a las funciones de configuración LDAP independientemente de los privilegios asignados. En implementaciones de Docker donde REMOTE_USER está configurado sin exigir autenticación, es posible llegar al punto final sin credenciales, lo que permite cambios no autorizados en la configuración de la aplicación. CVE-2026-28517: Vulnerabilidad de inyección de comandos del sistema operativo que afecta al componente «report_network_map.php». Este componente procesa un parámetro llamado «punto» sin desinfectarlo y lo pasa directamente al comando de shell, lo que resulta en la ejecución de código arbitrario.
Estas dos vulnerabilidades fueron descubiertas por el investigador de seguridad de VulnCheck Valentin Lobstein en febrero de 2026, junto con la vulnerabilidad de inyección SQL openDCIM CVE-2026-28516 (puntuación CVSS: 9,3). Según Lobstein, las tres fallas podrían encadenarse para ejecutar código remoto en cinco solicitudes HTTP y generar un shell inverso.
Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, dijo: «El grupo de actores de amenazas que hemos observado hasta ahora se origina en una única IP china, utilizando lo que parece ser una implementación personalizada de la herramienta de descubrimiento de vulnerabilidades de IA Vulnhuntr para verificar automáticamente si hay instalaciones vulnerables antes de soltar un shell web PHP».
Source link
