🛑 ด่วน !! F5 ประกาศอัปเดตแพตช์แก้ไขช่องโหว่ในผลิตภัณฑ์หลายรายการ
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนผู้ดูแลระบบและผู้ใช้บริการผลิตภัณฑ์ F5 NGINX, BIG-IP และ BIG-IQ ถึงประกาศอัปเดตความปลอดภัยจาก F5 เพื่อแก้ไขช่องโหว่ความปลอดภัยหลายรายการที่มีความรุนแรงสูง ได้แก่ ช่องโหว่ Heap Buffer Overflow ใน NGINX, ช่องโหว่การใช้งาน API ที่มีสิทธิ์สูงอย่างไม่ถูกต้องใน BIG-IP iControl REST และช่องโหว่ Remote Code Execution ใน BIG-IP และ BIG-IQ Configuration utility โดยเฉพาะช่องโหว่ CVE-2026-42945 ซึ่งมีรายงานว่าถูกนำไปใช้โจมตีจริงแล้ว และมี Proof of Concept (PoC) เผยแพร่สาธารณะ หากไม่ดำเนินการแก้ไข อาจส่งผลให้ระบบหยุดให้บริการ ถูกยกระดับสิทธิ์ หรือถูกสั่งรันคำสั่งบนระบบโดยไม่ได้รับอนุญาตได้
1. รายละเอียดภัยคุกคาม
F5 ได้เผยแพร่การอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่สำคัญในผลิตภัณฑ์ NGINX, BIG-IP และ BIG-IQ จำนวน 3 รายการ
1.1 CVE-2026-42945 [1] เป็นช่องโหว่ประเภท Heap Buffer Overflow ใน ngx_http_rewrite_module ของ NGINX มีคะแนน CVSS v3.1: 8.1 โดยผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนอาจส่งคำขอ HTTP ที่ถูกดัดแปลงมาเป็นพิเศษ เพื่อทำให้ระบบ NGINX เกิดสภาวะปฏิเสธการให้บริการ หรือ Denial of Service (DoS) ได้
ในกรณีที่ระบบปิดใช้งาน Address Space Layout Randomisation (ASLR) ช่องโหว่นี้อาจถูกใช้เพื่อสั่งรันโค้ดบนระบบเป้าหมายได้ ทั้งนี้ มีรายงานว่าช่องโหว่ดังกล่าวถูกนำไปใช้โจมตีจริงแล้ว
1.2 CVE-2026-41225 [2] เป็นช่องโหว่จากการใช้งาน API ที่มีสิทธิ์สูงอย่างไม่ถูกต้องใน BIG-IP iControl REST มีคะแนน CVSS v3.1: 9.1 โดยผู้โจมตีที่ผ่านการยืนยันตัวตน ที่สามารถเข้าถึงเครือข่ายไปยัง iControl REST endpoint ผ่านพอร์ตจัดการของ BIG-IP หรือผ่าน Self IP addresses อาจใช้ช่องโหว่นี้เพื่อยกระดับสิทธิ์ หรือข้ามข้อจำกัดของ Appliance mode บนระบบที่ได้รับผลกระทบได้
1.3 CVE-2026-41957 [3] เป็นช่องโหว่ Remote Code Execution ในส่วน Configuration utility ของ BIG-IP และ BIG-IQ มีคะแนน CVSS v3.1: 8.8 โดยช่องโหว่ดังกล่าวเกิดจากการ Deserialisation of Untrusted Data โดยผู้โจมตีที่ผ่านการยืนยันตัวตนแล้ว อาจสามารถสั่งรันคำสั่งระบบ สร้างหรือลบไฟล์ หรือปิดบริการต่าง ๆ บนระบบที่ได้รับผลกระทบได้
2. ระบบที่อาจได้รับผลกระทบ [4]
2.1 ผลิตภัณฑ์ NGINX และส่วนขยายที่เกี่ยวข้อง สำหรับ CVE-2026-42945
– NGINX Plus: เวอร์ชัน R32 ถึง R36
– NGINX Open Source: เวอร์ชัน 0.6.27 ถึง 0.9.7 ซึ่งไม่มีแพตช์แก้ไข และเวอร์ชัน 1.0.0 ถึง 1.30.0
– NGINX Instance Manager: เวอร์ชัน 2.16.0 ถึง 2.22.0
– F5 WAF for NGINX: เวอร์ชัน 5.9.0 ถึง 5.12.1
– NGINX App Protect WAF: เวอร์ชัน 4.9.0 ถึง 4.16.0 และ 5.1.0 ถึง 5.8.0
– F5 DoS for NGINX: เวอร์ชัน 4.8.0
– NGINX App Protect DoS: เวอร์ชัน 4.3.0 ถึง 4.7.0
– NGINX Gateway Fabric: เวอร์ชัน 1.3.0 ถึง 1.6.2 และ 2.0.0 ถึง 2.6.0
– NGINX Ingress Controller: เวอร์ชัน 3.5.0 ถึง 3.7.2, 4.0.0 ถึง 4.0.1 และ 5.0.0 ถึง 5.4.2
2.2 ผลิตภัณฑ์ BIG-IP สำหรับ CVE-2026-41225
– BIG-IP ทุกโมดูล: เวอร์ชัน 16.1.0 ถึง 16.1.6, 17.1.0 ถึง 17.1.3, 17.5.0 ถึง 17.5.1 และ 21.0.0
2.3 ผลิตภัณฑ์ BIG-IP และ BIG-IQ สำหรับ CVE-2026-41957
– BIG-IP ทุกโมดูล: เวอร์ชัน 16.1.0 ถึง 16.1.6, 17.1.0 ถึง 17.1.3 และ 17.5.0 ถึง 17.5.1
– BIG-IQ Centralised Management: เวอร์ชัน 8.4.0
3. ผลกระทบ
3.1 ช่องโหว่ CVE-2026-42945 หากถูกโจมตีสำเร็จ ผู้โจมตีอาจทำให้ระบบ NGINX หยุดให้บริการ หรือในบางเงื่อนไขอาจนำไปสู่การสั่งรันโค้ดบนระบบที่ปิดใช้งาน ASLR ได้
3.2 ช่องโหว่ CVE-2026-41225 ผู้โจมตีที่มีสิทธิ์สูงและสามารถเข้าถึง iControl REST endpoint อาจยกระดับสิทธิ์ หรือข้ามข้อจำกัดของ Appliance mode บน BIG-IP ได้
3.3 ช่องโหว่ CVE-2026-41957 อาจทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้วสามารถสั่งรันคำสั่งระบบ สร้างหรือลบไฟล์ หรือปิดบริการต่าง ๆ บน BIG-IP หรือ BIG-IQ ที่ได้รับผลกระทบได้ ซึ่งอาจส่งผลกระทบต่อความมั่นคงปลอดภัยและความพร้อมใช้งานของระบบ
4. แนวทางการตรวจสอบและป้องกัน
4.1 ตรวจสอบว่าผลิตภัณฑ์ F5 NGINX, BIG-IP และ BIG-IQ ที่ใช้งานอยู่ อยู่ในรายการเวอร์ชันที่ได้รับผลกระทบหรือไม่
4.2 อัปเดตผลิตภัณฑ์ที่ได้รับผลกระทบให้เป็นเวอร์ชันล่าสุดที่ F5 เผยแพร่เพื่อแก้ไขช่องโหว่โดยทันที โดยมีรายละเอียดดังนี้
– สำหรับ CVE-2026-42945 สามารถดูรายละเอียด และวิธีการแก้ไขได้ที่ https://dg.th/0erhxq7cku [5]
– สำหรับ CVE-2026-41225 สามารถดูรายละเอียด และวิธีการแก้ไขได้ที่ https://dg.th/bqd6eozv0x [6]
– สำหรับ CVE-2026-41957 สามารถดูรายละเอียด และวิธีการแก้ไขได้ที่ https://dg.th/2gwar9zxcq [7]
4.3 ตรวจสอบการเปิดใช้งานและการเข้าถึง iControl REST และ Configuration utility โดยเฉพาะการเข้าถึงผ่าน Self IP addresses
4.4 ตรวจสอบบันทึกการเข้าถึงและบันทึกเหตุการณ์ของระบบ เพื่อค้นหาพฤติกรรมผิดปกติที่อาจเกี่ยวข้องกับการพยายามโจมตีช่องโหว่ดังกล่าว
4.5 จำกัดการเข้าถึงส่วนบริหารจัดการระบบให้เฉพาะเครือข่ายหรือผู้ดูแลระบบที่ได้รับอนุญาตเท่านั้น
ThaiCERT ขอเน้นย้ำว่าช่องโหว่ CVE-2026-42945 มีรายงานว่าถูกนำไปใช้โจมตีจริงแล้ว และมี PoC เผยแพร่สาธารณะ ผู้ดูแลระบบที่ใช้งานผลิตภัณฑ์ F5 NGINX, BIG-IP และ BIG-IQ ควรเร่งตรวจสอบเวอร์ชันที่ใช้งาน อัปเดตแพตช์ หรือดำเนินมาตรการลดความเสี่ยงชั่วคราวตามคำแนะนำของผู้ผลิตโดยเร็วที่สุด เพื่อลดความเสี่ยงจากการหยุดชะงักของบริการ การยกระดับสิทธิ์ และการสั่งรันคำสั่งบนระบบโดยไม่ได้รับอนุญาต
แหล่งอ้างอิง