Cảnh báo nghiêm trọng: Lỗ hổng CVE-2026-42533 NGINX cần cập nhật bản vá khẩn

Cảnh báo nghiêm trọng: Lỗ hổng CVE-2026-42533 NGINX cần cập nhật bản vá khẩn

F5 đã công bố ba lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến NGINX Plus và NGINX Open Source, cảnh báo rằng kẻ tấn công chưa xác thực có thể khai thác chúng để gây tràn bộ nhớ, làm sập tiến trình worker, hoặc trong trường hợp xấu nhất, thực thi mã tùy ý. Các lỗ hổng này, được công bố vào ngày 15 tháng 7 năm 2026, tác động đến các thành phần NGINX được sử dụng rộng rãi, bao gồm Ingress Controller, Gateway Fabric, App Protect WAF và Instance Manager. Trong bối cảnh tin tức bảo mật ngày càng phức tạp, việc hiểu rõ các lỗ hổng này là vô cùng quan trọng.

Phân tích Lỗ hổng CVE-2026-42533

Lỗ hổng nghiêm trọng nhất trong ba lỗ hổng, CVE-2026-42533, có điểm CVSS v3.1 là 8.1 (High) và CVSS v4.0 là 9.2 (Critical). Lỗ hổng này phát sinh từ cách chỉ thị ‘map’ xử lý việc so khớp biểu thức chính quy (regex matching) khi một biểu thức chuỗi tham chiếu đến các biến capture trước biến đầu ra của map. Kẻ tấn công có thể gửi các yêu cầu HTTP được chế tạo để kích hoạt hiện tượng tràn bộ đệm heap (CWE-122) trong tiến trình worker của NGINX.

Ảnh hưởng và Cơ chế Khai thác

Ngoài việc làm sập dịch vụ, F5 cảnh báo rằng kẻ tấn công có thể đạt được khả năng thực thi mã trên các hệ thống mà cơ chế Ngẫu nhiên hóa Bố cục Không gian Địa chỉ (ASLR) bị tắt hoặc bị bỏ qua. Để giảm thiểu rủi ro, F5 khuyến nghị chuyển sang sử dụng các biểu thức chính quy có đặt tên (named regex captures) thay vì các biểu thức không có tên.

Lỗ hổng Liên quan đến ngx_http_slice_module

Một lỗ hổng khác (CVSS 8.2/8.8) ảnh hưởng đến module ngx_http_slice_module. Module này không được bật theo mặc định và yêu cầu cờ biên dịch --with-http_slice_module. Khi chỉ thị ‘slice’ được kết hợp với các biểu thức chính quy không có tên, hoặc trong quá trình cập nhật bộ nhớ cache nền, kẻ tấn công có thể truy cập vào bộ nhớ chưa được khởi tạo. Điều này có thể dẫn đến rò rỉ dữ liệu hạn chế hoặc khởi động lại tiến trình worker.

Giảm thiểu Rủi ro

Biện pháp giảm thiểu cho lỗ hổng này, tương tự như trên, là sử dụng các biểu thức chính quy có đặt tên.

Lỗ hổng trên ngx_http_ssi_module

Với điểm số Trung bình/Cao (6.5 CVSS v3.1, 8.3 CVSS v4.0), lỗi này ảnh hưởng đến module ngx_http_ssi_module khi Server-Side Includes (SSI) được sử dụng cùng với proxy_passproxy_buffering off. Kẻ tấn công Man-in-the-Middle (MITM) kiểm soát phản hồi từ upstream có thể kích hoạt hiện tượng sử dụng sau khi giải phóng (use-after-free – CWE-416), dẫn đến sửa đổi bộ nhớ hạn chế hoặc sự cố hệ thống. Hiện tại, không có biện pháp giảm thiểu nào ngoài việc áp dụng bản vá.

Phạm vi Ảnh hưởng

Cả ba lỗ hổng đều ảnh hưởng đến cùng một dải sản phẩm. Đáng chú ý, BIG-IP, BIG-IQ, F5 Distributed Cloud, F5OS và F5 AI Gateway không bị ảnh hưởng; các vấn đề này chỉ giới hạn trong các thành phần data plane của NGINX.

Tầm quan trọng của việc Cập nhật Bản vá

NGINX cung cấp sức mạnh cho một phần lớn hạ tầng tiếp xúc với Internet, làm cho các lỗ hổng này trở thành mục tiêu hấp dẫn cho kẻ tấn công cơ hội, đặc biệt là CVE-2026-42533 với tiềm năng thực thi mã. Các tổ chức đang vận hành các bản triển khai NGINX Plus, Ingress Controller hoặc Gateway Fabric bị ảnh hưởng nên ưu tiên việc cập nhật bản vá ngay lập tức, đặc biệt nếu các chỉ thị ‘map’ với biểu thức chính quy, hoặc module SSI đang được sử dụng tích cực.

IOCs và Thông tin Bổ sung

F5 đã ghi nhận công lao của hơn một chục nhà nghiên cứu độc lập trong việc tiết lộ có trách nhiệm CVE-2026-42533. CVE-2026-60005 được tìm thấy nội bộ và CVE-2026-56434 được báo cáo bởi nhà nghiên cứu p4p3r.

Để tăng cường khả năng phát hiện và phản ứng nhanh chóng, các tổ chức có thể xem xét tích hợp các giải pháp phân tích mã độc mạnh mẽ. Nguồn tin đáng tin cậy về phân tích bảo mật và lỗ hổng CVE thường xuyên cập nhật thông tin mới nhất. Một nguồn tham khảo hữu ích là National Vulnerability Database (NVD) tại NVD – CVE-2026-42533.