Kibernetinio saugumo įmonė F5 išleido išorinius saugos naujinimus, kad pašalintų kelis NGINX žiniatinklio serverio pažeidžiamumus, įskaitant du kritinio sunkumo trūkumus, kurie gali leisti užpuolikams vykdyti kodą pažeidžiamose sistemose.
Du kritiniai pažeidžiamumai buvo rasti ngx_http_v3_module (CVE-2026-42530) ir ngx_http_proxy_v2_module ir ngx_http_grpc_module (CVE-2026-42055), ir jas gali išnaudoti neautentifikuoti atakuojantys nuotoliniai užpuolėjai. arba kodo vykdymas NGINX sistemose su nenumatytomis konfigūracijomis.
Sėkmingas išnaudojimas sukelia NGINX darbuotojo proceso buferio perpildymą nenaudojant naudojimo arba krūvos pagrindu, todėl paleidžiamas iš naujo. Abiem atvejais jie taip pat gali „vykdyti kodą sistemose, kuriose išjungtas adresų erdvės išdėstymo atsitiktinis nustatymas (ASLR) arba kai užpuolikas gali apeiti ASLR“.
F5 išleido saugos pataisas keliems NGINX programinės įrangos produktams, paveiktiems šių dviejų pažeidžiamumų, įskaitant NGINX Plus ir NGINX Open Source, NGINX Gateway Fabric ir NGINX Instance Manager.
Administratoriai, kurie negali iš karto įdiegti saugos naujinimų, gali sušvelninti CVE-2026-42530, išjungdami HTTP/3 (pašalindami quic iš visų klausymo direktyvų) ir CVE-2026-42055 pašalindami direktyvą ignore_invalid_headers off iš konfigūracijos ir sumažindami direktyvą large_client_header_2 megabaitų dydis žemiau.
Bendrovė taip pat išsprendė du labai rimtus „NGINX Gateway Fabric“ saugos trūkumus, pažymėtus kaip CVE-2026-11311 ir CVE-2026-50107, kuriuos autentifikuoti užpuolikai gali išnaudoti norėdami suleisti savavališkas NGINX konfigūracijos direktyvas.
Nors F5 nepažymėjo nė vienos iš šių saugumo problemų kaip išnaudotų atakų metu, pastaraisiais metais F5 pažeidžiamumu dažnai pasinaudojo ir kibernetiniai nusikaltimai, ir grėsmės nacionalinėms valstybėms grupės.
Pavyzdžiui, įsilaužėliai taikė F5 produktų saugos trūkumus, siekdami pažeisti įmonių tinklus, įdiegti duomenis naikinančias kenkėjiškas programas, susieti vidinius serverius, užgrobti įrenginius ir pavogti slaptus dokumentus iš aukų visame pasaulyje.
F5 spalį taip pat paskelbė, kad valstybės remiami užpuolikai 2025 m. rugpjūčio mėn. pažeidė jos sistemas ir pavogė neatskleistas BIG-IP saugumo spragas ir šaltinio kodą.
Per pastaruosius kelerius metus JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) septynias F5 spragas pažymėjo kaip aktyviai išnaudotas, iš kurių keturios nukreiptas į išpirkos reikalaujančių programų atakas.
F5 yra „Fortune 500“ technologijų įmonė, teikianti kibernetinį saugumą, programų pristatymo tinklą (ADN) ir įvairias kitas paslaugas daugiau nei 23 000 klientų visame pasaulyje, įskaitant 48 iš „Fortune 50“ įmonių ir 80% „Fortune Global 500“.
Apsaugos komandos registruoja 54% sėkmingų atakų ir įspėja tik apie 14%. Likusieji juda per jūsų aplinką nematyti.
„Picus“ informaciniame dokumente parodyta, kaip pažeidimo ir atakos modeliavimas tikrina jūsų SIEM ir EDR taisykles, kad aptiktos grėsmės nustotų slysti.
Gaukite baltą lapą
