-
09/04/2020
-
141
-
1.990 bài viết
F5 phát hành bản vá cho hai lỗ hổng nghiêm trọng trong NGINX Open Source
Các quản trị viên sử dụng vừa nhận thêm một cảnh báo bảo mật đáng chú ý khi F5 phát hành bản vá cho hai lỗ hổng nghiêm trọng có thể dẫn tới thực thi mã từ xa (RCE). Hai lỗ hổng này ảnh hưởng đến các thành phần xử lý HTTP/2 và HTTP/3 của NGINX Open Source, những giao thức đang được sử dụng rộng rãi trên các hệ thống web hiện đại. Dù chưa ghi nhận hoạt động khai thác ngoài thực tế, mức độ nghiêm trọng của các lỗi vẫn khiến giới chuyên gia đặc biệt quan tâm.
Lỗ hổng đầu tiên là CVE-2026-42530 với điểm CVSS 9.2, nằm trong module HTTP/3 của NGINX. Đây là lỗi use-after-free xảy ra khi chương trình tiếp tục sử dụng một vùng nhớ sau khi vùng nhớ đó đã được giải phóng. F5 cho biết kẻ tấn công từ xa có thể gửi một phiên HTTP/3/QUIC được tạo đặc biệt để kích hoạt lỗi, dẫn đến tình trạng truy cập bộ nhớ ngoài ý muốn và trong một số trường hợp có thể thực thi mã trên hệ thống mục tiêu.
Lỗ hổng còn lại, CVE-2026-42055, được chấm điểm CVSS 9.2, ảnh hưởng đến các module ngx_http_proxy_v2_module và ngx_http_grpc_module của NGINX. Theo F5, lỗ hổng có thể bị kích hoạt khi NGINX được cấu hình để proxy lưu lượng HTTP/2 thông qua proxy_http_version 2 hoặc sử dụng chỉ thị grpc_pass, đồng thời thiết lập ignore_invalid_headers off và cấu hình large_client_header_buffers lớn hơn 2 MB. Trong điều kiện này, các header HTTP được tạo đặc biệt có thể gây ra lỗi tràn bộ nhớ heap trong quá trình xử lý, tạo cơ hội cho kẻ tấn công từ xa ghi đè dữ liệu trong bộ nhớ và thực thi mã trên hệ thống mục tiêu.
Không giống nhiều lỗ hổng có thể khai thác ngay trên cấu hình mặc định, hai lỗi lần này đòi hỏi những điều kiện triển khai cụ thể mới có thể kích hoạt. Tuy nhiên, các tính năng liên quan như HTTP/3, HTTP/2 và gRPC đang ngày càng được sử dụng rộng rãi trong các hệ thống hiện đại, khiến phạm vi ảnh hưởng thực tế có thể lớn hơn dự kiến.
Trước nguy cơ bị khai thác, F5 đã phát hành bản vá cho hàng loạt sản phẩm NGINX, bao gồm NGINX Open Source, NGINX Plus, Gateway Fabric, Ingress Controller, Instance Manager cùng các giải pháp bảo mật App Protect. Danh sách ảnh hưởng trải dài qua nhiều phiên bản khác nhau, từ các nhánh NGINX Open Source 1.30.x và 1.31.x đến nhiều bản phát hành của NGINX Plus và các thành phần triển khai trên Kubernetes.
Trong trường hợp chưa thể cập nhật bản vá ngay lập tức, các quản trị viên cần chủ động triển khai các biện pháp giảm thiểu rủi ro. Đối với CVE-2026-42530, F5 đề xuất tạm thời vô hiệu hóa HTTP/3 nhằm loại bỏ hoàn toàn bề mặt tấn công liên quan đến lỗ hổng này. Trong khi đó, với CVE-2026-42055, các tổ chức nên rà soát cấu hình NGINX, loại bỏ tùy chọn ignore_invalid_headers off hoặc giảm giá trị large_client_header_buffers xuống dưới 2 MB để ngăn chặn điều kiện có thể dẫn tới lỗi tràn bộ nhớ.
Dù hiện chưa ghi nhận hoạt động khai thác ngoài thực tế, lịch sử cho thấy các lỗ hổng trong hệ sinh thái F5 thường nhanh chóng trở thành mục tiêu của tin tặc sau khi được công bố. Gần đây nhất, lỗ hổng CVE-2026-42945 (NGINX Rift) trong NGINX Plus và NGINX Open Source đã bị khai thác chỉ trong thời gian ngắn sau khi xuất hiện, cho thấy tốc độ vũ khí hóa các lỗ hổng ảnh hưởng đến hạ tầng web đang ngày càng gia tăng. Để giảm thiểu rủi ro, các tổ chức và quản trị viên nên sớm cập nhật lên các phiên bản đã được vá hoặc triển khai các biện pháp giảm thiểu được F5 khuyến nghị.