F5 Vydáva Núdzovú Bezpečnostnú Aktualizáciu pre Kritické Zraniteľnosti NGINX

Prehľad situácie

Spoločnosť F5 vydala urgentné bezpečnostné aktualizácie odstraňujúce dve kritické zraniteľnosti platformy NGINX Open Source. Ich úspešné zneužitie by za určitých podmienok mohlo útočníkom umožniť vzdialené vykonanie ľubovoľného kódu na postihnutých systémoch.

Zraniteľnosti sledované ako CVE-2026-42530 a CVE-2026-42055 dosahujú skóre CVSS v4 = 9.2 a obe možno zneužiť vzdialene bez autentifikácie. Zverejnenie prichádza v kontexte nedávnej aktívnej exploitácie inej kritickej zraniteľnosti NGINX – CVE-2026-42945 (NGINX Rift) – ktorá sa dostala do útočných kampaní len niekoľko dní po svojom zverejnení minulý mesiac.


Identifikované zraniteľnosti

CVE-2026-42530 – Use-After-Free v implementácii HTTP/3 a QUIC

CVSS v4: 9.2 | Vzdialená exploitácia bez autentifikácie

Zraniteľnosť postihuje modul ngx_http_v3_module zodpovedný za podporu komunikácie HTTP/3 cez transportný protokol QUIC. Ide o chybu triedy use-after-free – stav, keď program naďalej odkazuje na pamäť po jej uvoľnení, čo môže viesť k pádu aplikácie, poškodeniu dát alebo vykonaniu ľubovoľného kódu.

Útočník môže zraniteľnosť spustiť vytvorením škodlivej relácie HTTP/3, ktorá manipuluje QPACK encoder stream a spôsobuje nesprávny prístup NGINX k predtým uvoľnenej pamäti. Úspešná exploitácia je možná, keď:

  • je vypnutá ochrana ASLR (Address Space Layout Randomization), alebo
  • útočník je schopný ochranu ASLR obísť

CVE-2026-42055 – Heap Buffer Overflow v HTTP/2 Proxy a gRPC

CVSS v4: 9.2 | Vzdialená exploitácia bez autentifikácie

Zraniteľnosť postihuje moduly ngx_http_proxy_v2_module a ngx_http_grpc_module. Exploitácia je možná pri súbežnom splnení nasledujúcich konfiguračných podmienok:

  • direktíva proxy_http_version nastavená na HTTP/2 alebo povolená direktíva grpc_pass
  • direktíva ignore_invalid_headers nastavená na off
  • direktíva large_client_header_buffers presahuje 2 MB

Postihnuté produkty a záplaty

CVE-2026-42530

Postihnutý produktVerzie
NGINX Open Source1.31.0 – 1.31.1
NGINX Gateway Fabric2.0.0 – 2.6.3 / 1.3.0 – 1.6.2
NGINX Instance Manager2.17.0 – 2.22.0
NGINX Ingress Controller5.0.0 – 5.5.0 / 4.0.0 – 4.0.1 / 3.5.0 – 3.7.2

Opravené verzie: NGINX Open Source 1.31.2, NGINX Gateway Fabric 2.6.4

CVE-2026-42055

Postihuje širší ekosystém produktov: NGINX Plus, NGINX Open Source, NGINX Instance Manager, NGINX App Protect WAF, F5 WAF for NGINX, F5 DoS for NGINX, NGINX App Protect DoS, NGINX Gateway Fabric, NGINX Ingress Controller.

Opravené verzie: NGINX Open Source 1.31.2 a 1.30.3, NGINX Plus 37.0.2.1 a R36 P6, NGINX Gateway Fabric 2.6.4


Zvýšené riziko pre Kubernetes a cloudové prostredia

Zraniteľnosti sú obzvlášť relevantné pre organizácie prevádzkujúce kontajnerizované záťaže a Kubernetes klastre, kde NGINX funguje ako jedna z najrozšírenejších ingress technológií – brána medzi externými používateľmi a internými službami.

Kompromis ingress kontrolera môže mať ďalekosiahle následky:

  • Zachytávanie aplikačnej prevádzky
  • Manipulácia s API komunikáciami
  • Prístup k backendovým službám
  • Eskalácia privilégií v kontajnerových prostrediach
  • Získanie perzistencie v cloudovej infraštruktúre

Dočasné mitigačné opatrenia

Pre organizácie, ktoré nemôžu okamžite nasadiť záplaty, F5 publikoval prechodné odporúčania:

CVE-2026-42530: Vypnúť funkcionalitu HTTP/3, kde je to prevádzkovo možné.

CVE-2026-42055: Odstrániť direktívu ignore_invalid_headers off a znížiť hodnotu large_client_header_buffers pod 2 MB.

Tieto opatrenia však nemožno považovať za náhradu záplatovania.


Širší kontext: Problém pamäťovej bezpečnosti

Obe zraniteľnosti predstavujú klasické typy pamäťových chýb – use-after-free a heap buffer overflow – ktoré historicky patria medzi najnebezpečnejšie kategórie softvérových defektov. Bezpečnostní výskumníci čoraz intenzívnejšie presadzujú pamäťovo bezpečné programovacie jazyky a dodatočné runtime ochrany pre kritickú internetovú infraštruktúru.

NGINX pritom zostáva jedným z najrozšírenejších webových serverov a reverzných proxy na svete, pričom denne spracúva miliardy požiadaviek v podnikových sieťach, u cloudových poskytovateľov, vo finančných inštitúciách, mediálnych platformách a vládnych systémoch.


Odporúčania pre organizácie

Vzhľadom na kritické hodnotenie závažnosti, vzdialenú útočnú plochu a rozsiahle nasadenie NGINX v infraštruktúre exponovanej internetu bezpečnostné tímy vyzývajú:

  1. Okamžite posúdiť expozíciu a aplikovať dostupné záplaty
  2. Prioritizovať nasadenia využívajúce HTTP/3, HTTP/2 proxy, gRPC služby alebo Kubernetes ingress kontrolery
  3. Implementovať dočasné mitigačné opatrenia tam, kde záplatovanie nie je okamžite možné
  4. Monitorovať spravodajské kanály hrozieb na prípadné indikátory aktívnej exploitácie

Záver

Hoci F5 zatiaľ nepotvrdil aktívnu exploitáciu ani jednej zo zraniteľností, nedávna história NGINX Rift – kde bol čas od zverejnenia po aktívne útoky len niekoľko dní – jednoznačne naznačuje, že organizácie majú veľmi obmedzené časové okno na preventívnu reakciu. Proof-of-concept exploity môžu vzniknúť veľmi rýchlo po podrobnej technickej analýze výskumníkmi aj protivníkmi.


Viac informácii:

https://www.linkedin.com/pulse/f5-releases-emergency-security-update-critical-cdexe

https://www.bleepingcomputer.com/news/security/f5-issues-out-of-band-patches-for-critical-nginx-vulnerabilities