F5 บริษัทด้านความปลอดภัยทางไซเบอร์ ออกแพตช์อัปเดตความปลอดภัยแบบเร่งด่วนนอกรอบ เพื่อแก้ไขช่องโหว่หลายรายการบนเว็บเซิร์ฟเวอร์ NGINX ซึ่งรวมถึงช่องโหว่ระดับ Critical 2 รายการ ที่อาจทำให้ผู้ไม่หวังดีสามารถเข้ามาสั่งรันโค้ดอันตรายบนระบบที่มีช่องโหว่ได้
ช่องโหว่ทั้ง 2 รายการนี้ ถูกพบใน ngx_http_v3_module (CVE-2026-42530) และ ngx_http_proxy_v2_module, ngx_http_grpc_module (CVE-2026-42055) โดยแฮ็กเกอร์จากภายนอกที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถใช้ประโยชน์ช่องโหว่เหล่านี้ เพื่อโจมตีแบบ Denial-of-Service (DoS) หรือสั่งรันโค้ดที่เป็นอันตรายบนระบบ NGINX ที่มีการตั้งค่าแบบพิเศษได้
หากการโจมตีประสบความสำเร็จ จะทำให้เกิดความผิดพลาดในหน่วยความจำในลักษณะ Use-after-free หรือ Heap-based buffer overflow ใน Worker process ของ NGINX ซึ่งส่งผลให้ระบบเกิดการรีสตาร์ท นอกจากนี้ ในทั้งสองกรณี ผู้โจมตียังสามารถ 'สั่ง Execute code บนระบบที่ไม่ได้เปิดใช้งาน Address Space Layout Randomization (ASLR) หรือในกรณีที่ผู้โจมตีสามารถ Bypass ASLR ได้
F5 ได้ออกแพตช์แก้ไขด้านความปลอดภัยให้กับผลิตภัณฑ์ซอฟต์แวร์ต่าง ๆ ของ NGINX หลายรายการที่ได้รับผลกระทบจากช่องโหว่ทั้งสองรายการนี้ ซึ่งรวมถึง NGINX Plus, NGINX Open Source, NGINX Gateway Fabric และ NGINX Instance Manager
สำหรับผู้ดูแลระบบที่ยังไม่สามารถติดตั้งอัปเดตความปลอดภัยได้ในทันที สามารถลดความเสี่ยงได้ดังนี้ สำหรับช่องโหว่ CVE-2026-42530 สามารถป้องกันได้โดยการปิดใช้งาน HTTP/3 โดยการลบคำว่า quic ออกจากคำสั่ง listen ทั้งหมดในไฟล์ตั้งค่า สำหรับช่องโหว่ CVE-2026-42055 สามารถป้องกันได้โดยการลบคำสั่ง ignore_invalid_headers off ออกจากไฟล์ตั้งค่า และปรับลดขนาดของคำสั่ง large_client_header_buffers ให้ต่ำกว่า 2 MB
นอกจากนี้ ทาง F5 ยังได้แก้ไขช่องโหว่ด้านความปลอดภัยระดับ High-severity อีก 2 รายการบน NGINX Gateway Fabric หมายเลข CVE-2026-11311 และ CVE-2026-50107 โดยช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้ว สามารถแทรกคำสั่งตั้งค่า NGINX ใด ๆ ตามต้องการเข้าไปในระบบได้
แม้ว่า F5 จะไม่ได้ระบุว่าช่องโหว่ด้านความปลอดภัยเหล่านี้ถูกนำไปใช้ในการโจมตีแล้วหรือไม่ก็ตาม แต่ในช่วงไม่กี่ปีที่ผ่านมา ช่องโหว่ของ F5 มักตกเป็นเป้าหมายในการโจมตีของทั้งกลุ่มอาชญากรไซเบอร์ และ Nation-state threat groups อยู่บ่อยครั้ง
ตัวอย่างเช่น แฮ็กเกอร์เคยมุ่งเป้าไปที่ช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ของ F5 เพื่อเจาะเข้าสู่เครือข่ายขององค์กร, ติดตั้ง Data-wiping malware, map internal servers, hijack devices และขโมยเอกสารสำคัญจากเหยื่อทั่วโลก
นอกจากนี้ F5 ยังเคยเปิดเผยเมื่อเดือนตุลาคมที่ผ่านมาว่า กลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลได้เจาะเข้าสู่ระบบของบริษัทในเดือนสิงหาคม 2025 และได้ขโมยซอร์สโค้ดรวมถึงช่องโหว่ด้านความปลอดภัยของ BIG-IP ที่ยังไม่มีการเปิดเผยต่อสาธารณะไป
ในช่วงหลายปีที่ผ่านมา สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้แจ้งเตือนเกี่ยวกับช่องโหว่ของ F5 จำนวน 7 รายการที่มีการนำไปใช้โจมตีจริงโดยในจำนวนนั้นมี 4 รายการที่เป็นเป้าหมายในการโจมตีด้วย Ransomware
ทั้งนี้ F5 เป็นบริษัทเทคโนโลยีชั้นนำใน Fortune 500 ที่ให้บริการด้านความปลอดภัยทางไซเบอร์ ระบบเครือข่ายสำหรับส่งมอบแอปพลิเคชัน และบริการอื่น ๆ แก่ลูกค้ามากกว่า 23,000 รายทั่วโลก ซึ่งรวมถึง 48 บริษัทในกลุ่ม Fortune 50 และ 80% ของบริษัทในกลุ่ม Fortune Global 500
ที่มา : bleepingcomputer
You must be logged in to post a comment.