F5 łata krytyczne luki w NGINX Open Source. Zdalne wykonanie kodu zagrożeniem dla HTTP/3, HTTP/2 i gRPC - Security Bez Tabu

F5 łata krytyczne luki w NGINX Open Source. Zdalne wykonanie kodu zagrożeniem dla HTTP/3, HTTP/2 i gRPC

Cybersecurity news

Wprowadzenie do problemu / definicja

F5 opublikowało poprawki dla dwóch krytycznych podatności w NGINX Open Source, które w określonych konfiguracjach mogą prowadzić do zdalnego wykonania kodu. Problem dotyczy komponentów odpowiedzialnych za obsługę nowoczesnego ruchu aplikacyjnego, w tym HTTP/3 oraz scenariuszy proxy dla HTTP/2 i gRPC.

To istotna informacja dla organizacji utrzymujących publicznie dostępne serwisy internetowe, bramy API, środowiska kontenerowe i klastry Kubernetes wykorzystujące NGINX jako warstwę wejściową lub reverse proxy.

W skrócie

  • Dwie podatności oznaczono jako CVE-2026-42530 i CVE-2026-42055.
  • Obie otrzymały ocenę CVSS v4 na poziomie 9,2, co klasyfikuje je jako krytyczne.
  • Atak może zostać przeprowadzony zdalnie i bez uwierzytelnienia, jeśli spełnione są konkretne warunki konfiguracyjne.
  • Jedna luka dotyczy HTTP/3 i modułu QUIC, druga obsługi proxy dla HTTP/2 oraz gRPC.
  • Producent udostępnił poprawki oraz zalecenia ograniczające powierzchnię ataku.

Kontekst / historia

NGINX pozostaje jednym z najważniejszych serwerów WWW i reverse proxy wykorzystywanych w środowiskach produkcyjnych. Z tego powodu każda krytyczna podatność w jego komponentach może mieć szerokie konsekwencje dla infrastruktury wystawionej do internetu.

Szczególnie niebezpieczne są błędy w warstwie protokołów aplikacyjnych, ponieważ dotyczą punktu styku między ruchem zewnętrznym a usługami wewnętrznymi. Branża wielokrotnie obserwowała, że publiczne ujawnienie poważnych luk w popularnych komponentach infrastrukturalnych szybko prowadzi do wzrostu skanowania i prób ich wykorzystania.

Choć nie potwierdzono aktywnego wykorzystania tych konkretnych błędów, sam charakter podatności oraz popularność NGINX sprawiają, że aktualizacje powinny zostać potraktowane priorytetowo.

Analiza techniczna

CVE-2026-42530 to podatność typu use-after-free w module ngx_http_v3_module. Problem pojawia się w środowiskach korzystających z HTTP/3 QUIC, gdy specjalnie przygotowana sesja HTTP/3 umożliwia ponowne otwarcie strumienia enkodera QPACK. W praktyce oznacza to ryzyko odwołania się procesu do pamięci, która została już zwolniona, co może prowadzić do uszkodzenia stanu procesu i potencjalnie do wykonania kodu.

Z kolei CVE-2026-42055 dotyczy przepełnienia bufora na stercie w modułach ngx_http_proxy_v2_module oraz ngx_http_grpc_module. Luka może zostać wykorzystana, gdy instancja pośredniczy ruch HTTP/2 z użyciem proxy_http_version 2 albo grpc_pass, jednocześnie ma ustawione ignore_invalid_headers off, a rozmiar large_client_header_buffers przekracza 2 MB.

Taki zestaw warunków tworzy niebezpieczną ścieżkę przetwarzania nagłówków, w której odpowiednio spreparowane dane wejściowe mogą doprowadzić do nadpisania pamięci. W praktyce mamy więc do czynienia z dwoma odrębnymi wektorami ataku: jednym związanym z implementacją HTTP/3 i QPACK, a drugim z logiką proxy dla HTTP/2 i gRPC oraz liberalnym traktowaniem niepoprawnych nagłówków.

Nie każda instancja NGINX będzie podatna, jednak środowiska korzystające z nowoczesnych funkcji transportowych i rozbudowanych ustawień proxy powinny zostać uznane za szczególnie narażone. F5 wskazało również poprawione wersje. Dla CVE-2026-42530 poprawka trafiła między innymi do NGINX Open Source 1.31.2. Dla CVE-2026-42055 poprawione zostały między innymi NGINX Open Source 1.31.2 oraz 1.30.3, a także powiązane produkty z ekosystemu NGINX.

Konsekwencje / ryzyko

Najpoważniejszym scenariuszem jest zdalne wykonanie kodu w procesie obsługującym ruch sieciowy. Taki incydent może skutkować przejęciem podatnej usługi, naruszeniem integralności warstwy proxy, a także wykorzystaniem serwera jako punktu wejścia do dalszego ruchu bocznego w infrastrukturze.

Ryzyko jest szczególnie wysokie dla organizacji, które eksponują NGINX bezpośrednio do internetu, korzystają z HTTP/3, pośredniczą ruch HTTP/2 lub gRPC, używają niestandardowych ustawień nagłówków i dużych buforów albo wdrażają NGINX jako ingress controller w klastrach Kubernetes.

Dodatkowym zagrożeniem jest efekt kaskadowy. Kompromitacja reverse proxy może wpłynąć nie tylko na sam serwer, ale także na backendy aplikacyjne, segmentację ruchu, polityki dostępu oraz mechanizmy bezpieczeństwa zależne od wiarygodności punktu wejścia.

Rekomendacje

Priorytetem powinno być szybkie ustalenie, czy dane środowisko korzysta z podatnych wersji oraz konfiguracji spełniających warunki eksploatacji opisane przez producenta. Następnie należy przeprowadzić aktualizację do wersji zawierających poprawki.

  • Wyłączyć HTTP/3 tam, gdzie nie jest niezbędny, aby ograniczyć ekspozycję na CVE-2026-42530.
  • Usunąć ustawienie ignore_invalid_headers off, jeśli nie jest absolutnie wymagane.
  • Zmniejszyć large_client_header_buffers poniżej 2 MB, o ile konfiguracja na to pozwala.
  • Przeprowadzić przegląd ustawień proxy_http_version 2 i grpc_pass.
  • Sprawdzić, czy instancje NGINX nie działają z osłabionymi mechanizmami ochrony pamięci.
  • Wdrożyć dodatkowy monitoring i detekcję anomalii dla ruchu HTTP/2, HTTP/3 oraz gRPC.
  • Zweryfikować zależności pośrednie, szczególnie w platformach kontenerowych i środowiskach Kubernetes.

Z perspektywy operacyjnej warto również przejrzeć logi pod kątem nietypowych sesji HTTP/3, błędów parsowania nagłówków, wzrostu liczby odrzuconych połączeń oraz awarii workerów NGINX. W środowiskach krytycznych uzasadnione może być czasowe ograniczenie ekspozycji usług do momentu zakończenia procesu aktualizacji.

Podsumowanie

Podatności CVE-2026-42530 i CVE-2026-42055 pokazują, że najbardziej zaawansowane funkcje współczesnych serwerów i reverse proxy pozostają atrakcyjnym celem ataków. W obu przypadkach chodzi o błędy pamięci, które przy określonych ustawieniach mogą doprowadzić do zdalnego wykonania kodu bez uwierzytelnienia.

Organizacje korzystające z HTTP/3, HTTP/2, gRPC oraz produktów opartych na NGINX powinny potraktować tę aktualizację jako pilną. Równolegle warto przeprowadzić przegląd konfiguracji i wdrożyć środki ograniczające powierzchnię ataku, zanim pojawią się szerzej zakrojone próby exploitacji.

Źródła

  1. F5 Patches Two Critical NGINX Open Source Flaws Enabling Remote Code Execution — https://thehackernews.com/2026/06/f5-patches-two-critical-nginx-open.html
  2. CVE-2026-42530 — https://www.cve.org/CVERecord?id=CVE-2026-42530
  3. CVE-2026-42055 — https://www.cve.org/CVERecord?id=CVE-2026-42055