ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยในผลิตภัณฑ์ NGINX ของ F5 ที่มีช่องโหว่ระดับร้ายแรง ที่ถูกใช้ในการโจมตีแบบ Denial of Service (DoS) หรือ Remote Code Execution (RCE) บนระบบที่ได้รับผลกระทบ นอกจากนี้ยังพบช่องโหว่ร้ายแรงเพิ่มเติมใน NGINX Gateway Fabric ทำให้ผู้โจมตีที่มีสิทธิ์เข้าถึงระบบสามารถแทรกคำสั่งกำหนดค่า NGINX ได้
1. รายละเอียดช่องโหว่
F5 ได้เผยแพร่ประกาศด้านความปลอดภัยและอัปเดตซอฟต์แวร์เพื่อแก้ไขช่องโหว่ด้านความมั่นคงปลอดภัยในผลิตภัณฑ์ NGINX ซึ่งอาจส่งผลกระทบต่อความพร้อมใช้งานและความมั่นคงปลอดภัยของระบบ โดยมีรายละเอียดดังนี้
1.1 CVE-2026-42530 (CVSS v3.1: 8.1) [1] เป็นช่องโหว่ในโมดูล ngx_http_v3_module ของ NGINX ซึ่งเกิดจากข้อผิดพลาดประเภท Use-After-Free ทำให้่ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถส่งข้อมูลที่ถูกสร้างขึ้นเป็นพิเศษมายังบริการ HTTP/3 ที่เปิดใช้งานอยู่ เพื่อทำให้กระบวนการทำงานของ NGINX เกิดความผิดพลาด ส่งผลให้บริการหยุดทำงาน (DoS) หรืออาจนำไปสู่การรันโค้ดบนระบบเป้าหมายได้ภายใต้เงื่อนไขบางประการ
1.2 CVE-2026-42055 (CVSS v3.1: 8.1) [2] เป็นช่องโหว่ในโมดูล ngx_http_proxy_v2_module และ ngx_http_grpc_module ของ NGINX ซึ่งเกิดจากข้อผิดพลาดประเภท Buffer Overflow ทำให้่ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถส่งข้อมูลที่ถูกสร้างขึ้นเป็นพิเศษมายังระบบที่มีการกำหนดค่าบางลักษณะ ส่งผลให้เกิดการล้นของหน่วยความจำและอาจนำไปสู่การโจมตีแบบ Denial of Service (DoS) หรือ Remote Code Execution (RCE)
1.3 CVE-2026-11311 (CVSS v3.1: 8.1) [3] เป็นช่องโหว่ใน NGINX Gateway Fabric ที่เปิดโอกาสให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้วสามารถแทรกคำสั่งกำหนดค่า NGINX (Configuration Injection) ซึ่งอาจส่งผลกระทบต่อความถูกต้องและความมั่นคงปลอดภัยของระบบ
1.4 CVE-2026-50107 (CVSS v3.1: 8.1) [4] เป็นช่องโหว่ใน NGINX Gateway Fabric ที่ส่งผลให้ผู้โจมตีที่มีสิทธิ์เข้าถึงระบบสามารถแทรกหรือแก้ไขคำสั่งกำหนดค่า NGINX ได้โดยไม่ได้รับอนุญาต ซึ่งอาจนำไปสู่การเปลี่ยนแปลงพฤติกรรมการทำงานของระบบหรือเพิ่มความเสี่ยงต่อการถูกโจมตีในลำดับถัดไป
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ
ผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ที่ประกาศใน F5 Security Notification K000161614 [5] ได้แก่ NGINX Open Source เวอร์ชัน 1.31.x ก่อน 1.31.2, NGINX Plus เวอร์ชัน 37.x ก่อน 37.0.2.1 และ R33–R36 ก่อน R36 P6 รวมถึง NGINX Gateway Fabric เวอร์ชันก่อน 2.6.4 ซึ่งได้รับผลกระทบจากช่องโหว่ CVE-2026-11311 และ CVE-2026-50107 นอกจากนี้ ผลิตภัณฑ์ที่ใช้งาน NGINX เป็นองค์ประกอบหลัก เช่น NGINX Ingress Controller และ NGINX Instance Manager อาจได้รับผลกระทบจากช่องโหว่ดังกล่าวด้วย
3.แนวทางการแก้ไขช่องโหว่
F5 ได้เผยแพร่แพตช์แก้ไขช่องโหว่ดังกล่าวแล้ว ผู้ดูแลระบบควรดำเนินการอัปเดตผลิตภัณฑ์ NGINX ที่ได้รับผลกระทบเป็นเวอร์ชันล่าสุดตามที่ผู้ผลิตแนะนำโดยเร็วที่สุด หากยังไม่สามารถติดตั้งแพตช์ได้ทันที ควรดำเนินการตามมาตรการลดความเสี่ยงชั่วคราว (Workaround) ดังนี้
– สำหรับ CVE-2026-42530 ปิดการใช้งาน HTTP/3 และลบคำสั่ง quic ออกจากการตั้งค่า listen ทั้งหมดในไฟล์กำหนดค่า NGINX
– สำหรับ CVE-2026-42055 ลบการตั้งค่า ignore_invalid_headers off และกำหนดค่า large_client_header_buffers ให้มีขนาดต่ำกว่า 2 MB
– สำหรับ CVE-2026-11311 และ CVE-2026-50107 ยังไม่ได้เผยแพร่มาตรการลดความเสี่ยงชั่วคราว (Workaround) ผู้ดูแลระบบควรเร่งดำเนินการอัปเดต NGINX Gateway Fabric เป็นเวอร์ชันที่ได้รับการแก้ไขจากผู้ผลิตโดยเร็วที่สุด
4. คำแนะนำด้านความปลอดภัยเพิ่มเติม
4.1 จำกัดการเข้าถึงหน้าจัดการระบบและบริการที่เกี่ยวข้องเฉพาะผู้ใช้งานหรือเครือข่ายที่มีความจำเป็นต่อภารกิจ
4.2 เปิดใช้งานและตรวจสอบบันทึกเหตุการณ์ (Logs) อย่างสม่ำเสมอ เพื่อเฝ้าระวังความผิดปกติหรือความพยายามโจมตี
4.3 ตรวจสอบการรีสตาร์ตของบริการ NGINX ที่เกิดขึ้นผิดปกติ ซึ่งอาจเป็นสัญญาณของความพยายามโจมตีช่องโหว่ดังกล่าว
4.4 ใช้งานระบบป้องกันการบุกรุก (IPS/WAF) และอัปเดต Signature ให้เป็นปัจจุบัน
4.5 ติดตามประกาศด้านความมั่นคงปลอดภัยจาก F5 และ NGINX อย่างต่อเนื่องเพื่อรับทราบข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่และการโจมตีที่อาจเกิดขึ้น
แหล่งอ้างอิง
[1] https://dg.th/27h4608uic
[2] https://dg.th/3xbgz5dcen
[3] https://dg.th/mh5a3r60yk
[4] https://dg.th/875nebwti3
[5] https://dg.th/jdv37k6o0w