
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
F5 opublikowało pozaplanowy pakiet poprawek bezpieczeństwa usuwający osiem podatności dotyczących produktów NGINX, NGINX Ingress Controller oraz BIG-IP. Błędy obejmują krytyczne problemy pamięciowe, scenariusze odmowy usługi, wyciek pamięci oraz możliwość wstrzyknięcia nieautoryzowanej konfiguracji.
To ważna informacja dla organizacji wykorzystujących NGINX jako reverse proxy, load balancer, element publikacji aplikacji lub komponent infrastruktury Kubernetes. Ze względu na pozycję tych rozwiązań w architekturze IT, skutki udanego ataku mogą wykraczać poza pojedynczą usługę i wpływać na dostępność całych środowisk.
W skrócie
Najpoważniejszą luką jest CVE-2026-42533 z oceną CVSS 9.2, dotycząca NGINX Plus i NGINX Open Source. Podatność może zostać wywołana spreparowanymi żądaniami HTTP i prowadzić do przepełnienia bufora sterty oraz restartu procesu roboczego NGINX.
W określonych warunkach, szczególnie przy wyłączonym mechanizmie ASLR, możliwe staje się także wykonanie kodu. Oprócz tego F5 naprawiło błędy w modułach NGINX, dwie luki w NGINX Ingress Controller oraz podatność w BIG-IP związaną z profilem HTTP/2, która może prowadzić do zużycia pamięci i odmowy usługi.
- CVE-2026-42533: krytyczne przepełnienie bufora sterty w NGINX
- Luki w modułach NGINX prowadzące do wycieku pamięci i niestabilności procesów
- Dwie podatności w NGINX Ingress Controller związane z konfiguracją i dostępnością usług
- Podatność w BIG-IP umożliwiająca zdalne wywołanie DoS przy użyciu HTTP/2
Kontekst / historia
NGINX i BIG-IP należą do podstawowych komponentów nowoczesnej infrastruktury aplikacyjnej. Odpowiadają za terminację TLS, równoważenie ruchu, publikację usług HTTP oraz integrację z platformami kontenerowymi i środowiskami hybrydowymi.
Z tego powodu nawet pojedyncza podatność w tej warstwie może mieć szeroki wpływ operacyjny. Fakt, że F5 zdecydowało się na publikację aktualizacji poza standardowym cyklem, sugeruje podwyższoną wagę problemu i potrzebę szybkiego wdrożenia remediacji, szczególnie w systemach wystawionych bezpośrednio do internetu.
Analiza techniczna
Najważniejszy błąd, CVE-2026-42533, dotyczy scenariusza związanego z dyrektywą map, dopasowaniami regex oraz odwołaniami do zmiennych przechwytujących. W określonych konfiguracjach odpowiednio przygotowane żądanie HTTP może doprowadzić do przepełnienia bufora sterty, a następnie do awarii lub restartu procesu worker.
W mniej bezpiecznych konfiguracjach systemowych, zwłaszcza przy wyłączonym ASLR, taki błąd może stworzyć warunki do wykonania kodu. Oznacza to, że ryzyko zależy nie tylko od samej obecności usługi, ale również od sposobu przygotowania konfiguracji i logiki przetwarzania danych wejściowych.
F5 załatało również inne luki wysokiego ryzyka w modułach ngx_http_slice_module oraz ngx_http_ssi_module. Skutki potencjalnej eksploatacji obejmują wyciek zawartości pamięci, restart procesu roboczego oraz stan use-after-free, który może prowadzić do modyfikacji pamięci procesu.
W NGINX Ingress Controller naprawiono dwie podatności wysokiego ryzyka dotyczące płaszczyzny zarządzania i konfiguracji. Uwierzytelniony atakujący może w określonych warunkach wstrzykiwać dowolne dyrektywy NGINX, co może skutkować usuwaniem plików lub wyłączaniem usług. Drugi scenariusz dotyczy tworzenia lub modyfikowania zasobów Ingress albo TransportServer w sposób prowadzący do odmowy usługi.
Osobno usunięto podatność w BIG-IP, gdzie zdalny atak bez uwierzytelnienia może zwiększać zużycie pamięci, jeśli na serwerze wirtualnym aktywny jest profil HTTP/2. To typowy scenariusz ataku DoS na warstwę aplikacyjną, którego celem jest degradacja wydajności lub całkowita utrata dostępności usług.
Konsekwencje / ryzyko
Ryzyko biznesowe zależy od tego, które komponenty są używane i jak zostały skonfigurowane. Najwyższy priorytet aktualizacji powinny nadać organizacje korzystające z NGINX Plus lub NGINX Open Source na systemach obsługujących ruch z internetu, zwłaszcza przy użyciu złożonych reguł map, wyrażeń regularnych i niestandardowych zmiennych.
W środowiskach kontenerowych zagrożenie dotyczy szczególnie klastrów Kubernetes, w których wielu operatorów lub procesów CI/CD ma możliwość modyfikowania zasobów Ingress. Nawet jeśli eksploatacja wymaga uwierzytelnienia, skutki mogą obejmować manipulację konfiguracją routingu, wyłączenie usług, a nawet ingerencję w pliki i stan kontrolera.
Dla BIG-IP konsekwencją może być degradacja usług publikowanych przez urządzenie, zwłaszcza przy intensywnym ruchu HTTP/2. Z perspektywy SOC i zespołów operacyjnych sygnałami ostrzegawczymi będą wzrost użycia pamięci, niestabilność procesu, restarty workerów NGINX oraz epizody chwilowej niedostępności aplikacji.
Rekomendacje
Priorytetem powinno być niezwłoczne wdrożenie poprawek dostarczonych przez F5 we wszystkich podatnych instancjach NGINX, NGINX Ingress Controller oraz BIG-IP. Jeżeli pełna aktualizacja nie jest możliwa natychmiast, warto zastosować działania tymczasowo ograniczające ekspozycję.
- Zidentyfikować wszystkie instancje NGINX i BIG-IP dostępne z internetu.
- Przeprowadzić przegląd konfiguracji NGINX pod kątem użycia
map, regex i złożonych odwołań do zmiennych. - Sprawdzić, czy na hostach aktywny jest ASLR i czy nie został wyłączony.
- Ograniczyć możliwość modyfikacji zasobów Ingress i TransportServer wyłącznie do zaufanych ról administracyjnych.
- Monitorować logi pod kątem nietypowych żądań HTTP, restartów workerów, błędów segmentacji i anomalii pamięci.
- Przeanalizować telemetrię BIG-IP dla serwerów wirtualnych z włączonym HTTP/2.
- Przygotować plan rollbacku i testów regresyjnych przed wdrożeniem aktualizacji w środowisku produkcyjnym.
Warto również potraktować to zdarzenie jako impuls do przeglądu higieny konfiguracji usług brzegowych. W wielu organizacjach głównym problemem pozostaje nie brak poprawek, lecz niepełna inwentaryzacja usług, shadow IT i rozproszone zarządzanie konfiguracją.
Podsumowanie
Pozaplanowe poprawki F5 obejmują zestaw podatności wpływających na trzy krytyczne obszary infrastruktury: serwery NGINX, kontrolery ingress w Kubernetes oraz urządzenia BIG-IP. Najgroźniejsza luka, CVE-2026-42533, może prowadzić do przepełnienia bufora sterty i w sprzyjających warunkach do wykonania kodu.
Pozostałe błędy zwiększają ryzyko wycieku pamięci, use-after-free, wstrzyknięcia konfiguracji oraz odmowy usługi. Dla organizacji oznacza to konieczność szybkiej oceny ekspozycji, wdrożenia aktualizacji oraz weryfikacji konfiguracji usług wystawionych na ruch zewnętrzny.
Źródła
- https://www.securityweek.com/f5-patches-multiple-nginx-big-ip-vulnerabilities/
- https://my.f5.com/manage/s/article/K000161837