Una falla de seguridad recientemente revelada que afecta a NGINX Plus y NGINX Open ha sido explotada activamente en la naturaleza, días después de su divulgación pública, según VulnCheck.

La vulnerabilidad, rastreada como CVE-2026-42945 (puntaje CVSS: 9.2), es un desbordamiento del búfer de montón en ngx_http_rewrite_module que afecta las versiones de NGINX 0.6.27 a 1.30.0. Según Depthfirst, la empresa de seguridad nativa de IA, la vulnerabilidad se introdujo en 2008.

La explotación exitosa de la falla puede permitir que un atacante no autenticado bloquee los procesos de trabajo o ejecute código remoto con solicitudes HTTP manipuladas. Sin embargo, cabe señalar que la ejecución de código solo es posible en dispositivos donde la aleatorización del diseño del espacio de direcciones (ASLR), una protección contra ataques basados ​​en memoria, está desactivada.

«Se basa en que una configuración NGINX específica sea vulnerable y que un atacante conozca o descubra la configuración para explotarla», dijo el investigador de seguridad Kevin Beaumont. dicho. «Para llegar a RCE [remote code execution]también es necesario que ASLR esté desactivado en la casilla».

En una evaluación similar, los mantenedores de AlmaLinux dicho: «Convertir el desbordamiento del montón en una ejecución confiable de código no es trivial en la configuración predeterminada, y en sistemas con ASLR habilitado (que es el valor predeterminado en todas las versiones compatibles de AlmaLinux), no esperamos que un exploit genérico y confiable sea fácil de producir».

«Dicho esto, ‘no es fácil’ no es ‘imposible’, y el DoS por accidente de trabajo es lo suficientemente explotable por sí solo como para recomendar tratar esto como urgente», agregaron los mantenedores.

Los últimos hallazgos de VulnCheck muestran que los actores de amenazas han comenzado a convertir la falla en un arma, y ​​se detectaron intentos de explotación contra sus redes honeypot. Actualmente se desconocen la naturaleza de la actividad de ataque y los objetivos finales. Se recomienda a los usuarios que apliquen las últimas correcciones de F5 para proteger sus redes contra amenazas activas.

También se explotan fallos en openDCIM

El desarrollo se produce cuando VulnCheck también reveló esfuerzos de explotación dirigidos a dos fallas críticas en openDCIM, una aplicación de código abierto utilizada para la gestión de infraestructura de centros de datos. Las vulnerabilidades, ambas con una calificación de 9,3 en el sistema de puntuación CVSS, se enumeran a continuación:

• CVE-2026-28515 – Una vulnerabilidad de autorización faltante que podría permitir a un usuario autenticado acceder a la funcionalidad de configuración LDAP independientemente de sus privilegios asignados. En implementaciones de Docker donde REMOTE_USER está configurado sin aplicación de autenticación, se puede acceder al punto final sin credenciales, lo que permite modificaciones no autorizadas de la configuración de la aplicación.
• CVE-2026-28517 – Una vulnerabilidad de inyección de comandos del sistema operativo que afecta al componente «report_network_map.php» que procesa un parámetro llamado «punto» sin desinfección y lo pasa directamente a un comando de shell, lo que resulta en la ejecución de código arbitrario.

Las dos vulnerabilidades fueron descubierto junto a CVE-2026-28516 (Puntuación CVSS: 9,3), una vulnerabilidad de inyección SQL en openDCIM, realizada por el investigador de seguridad de VulnCheck Valentin Lobstein en febrero de 2026. Según Lobstein, las tres fallas se pueden encadenar para lograr la ejecución remota de código en cinco solicitudes HTTP y generar un shell inverso.

«El grupo de actividad de atacantes que estamos observando hasta ahora se origina en una única IP china y utiliza lo que parece ser una implementación personalizada de la herramienta de descubrimiento de vulnerabilidades de IA Vulnhuntr para comprobar automáticamente si hay instalaciones vulnerables antes de soltar un shell web PHP», Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, dicho.

Grafana ha revelado que una «parte no autorizada» obtuvo un token que les otorgaba la posibilidad de acceder al entorno GitHub de la empresa y descargar su código base.

«Nuestra investigación ha determinado que no se accedió a datos o información personal del cliente durante este incidente, y no hemos encontrado evidencia de impacto en los sistemas u operaciones del cliente», Grafana
dicho
en una serie de publicaciones sobre X.

La compañía también dijo que lanzó inmediatamente un análisis forense al descubrir la actividad y que identificó la fuente de la filtración, agregando que desde entonces las credenciales comprometidas han sido invalidadas y que se han implementado medidas de seguridad adicionales para proteger contra el acceso no autorizado.

Además, Grafana reveló que el atacante intentó chantajear y extorsionar a la empresa, exigiendo un pago para evitar que se publicara la base de datos robada.

Grafana dijo que optó por no pagar el rescate, citando a la Oficina Federal de Investigaciones (FBI) de Estados Unidos. La agencia advirtió anteriormente contra la negociación de rescates con los perpetradores, ya que no hay garantía de que hacerlo ayude a las empresas afectadas a recuperar sus datos.

«También anima a los perpetradores a apuntar a más víctimas y ofrece un incentivo para que otros se involucren en este tipo de actividad ilegal», dijo el FBI.
estados
en su sitio web.

Grafana no reveló cuándo ocurrió el incidente ni desde cuándo el actor de amenazas tuvo acceso a su entorno, solo reveló que se enteró del ataque «recientemente». La infracción no se ha atribuido a ningún actor o grupo de amenazas conocido.

Sin embargo, informes de
Hackmanac
y
Ransomware.live
indican que un grupo de cibercrimen llamado CoinbaseCartel se ha atribuido la responsabilidad del incidente.

Según informes de
Martín pescador
y
Laboratorios Fortinet FortiGuard
CoinbaseCartel es un equipo de extorsión de datos que surgió en septiembre de 2025. Se considera una rama de los ecosistemas ShinyHunters, Scattered Spider y LAPSUS$.

El grupo, que solo se centra en el robo de datos y la extorsión, a diferencia de los grupos tradicionales de ransomware, ha acumulado 170 víctimas en servicios de salud, tecnología, transporte, manufactura y negocios.

La compañía tampoco reveló qué código base descargó el atacante, pero Grafana ofrece varias soluciones como
Nube de Grafana
una plataforma de observabilidad alojada en la nube y totalmente administrada para aplicaciones e infraestructura. The Hacker News se comunicó con Grafana para hacer comentarios y actualizaremos la historia si recibimos una respuesta.

El desarrollo se produce días después de que la empresa estadounidense de tecnología educativa Instructure tomara la controvertida decisión de llegar a un acuerdo con el grupo de extorsión ShinyHunters después de que este último amenazara con filtrar terabytes de datos pertenecientes a miles de escuelas y universidades en todo Estados Unidos.