F5 ha distribuito aggiornamenti di sicurezza per correggere una serie di vulnerabilità critiche presenti in NGINX, uno dei web server e reverse proxy più utilizzati al mondo. Le falle interessano diversi componenti del sistema e includono due vulnerabilità di severità critica che, in determinate condizioni, possono consentire a un attaccante remoto non autenticato di eseguire codice arbitrario o causare un’interruzione del servizio.

Le due vulnerabilità principali, identificate come CVE-2026-42530 e CVE-2026-42055, colpiscono rispettivamente il modulo HTTP/3 ngx_http_v3_module e i moduli ngx_http_proxy_v2_module e ngx_http_grpc_module. In entrambi i casi, il problema nasce da errori di gestione della memoria all’interno dei processi worker di NGINX, nello specifico condizioni di use-after-free e buffer overflow su heap. Questo tipo di vulnerabilità è particolarmente pericoloso perché può corrompere lo stato interno del processo, provocando crash del servizio o, in scenari più gravi, l’esecuzione di codice malevolo.

L’exploit di queste falle non richiede autenticazione e può essere attivato da remoto, ma riguarda principalmente configurazioni non standard del server. Quando l’attacco va a buon fine, il risultato immediato è spesso un riavvio del processo worker di NGINX, generando quindi un denial-of-service. Tuttavia, in determinate condizioni più favorevoli all’attaccante, come sistemi con Address Space Layout Randomization (ASLR) disabilitata o bypassabile, la vulnerabilità può essere sfruttata per ottenere esecuzione di codice sul sistema compromesso. Il problema interessa un intero ecosistema di prodotti basati su NGINX. NGINX Plus, NGINX Open Source, NGINX Gateway Fabric e NGINX Instance Manager risultano tutti impattati dalle stesse vulnerabilità, costringendo F5 a rilasciare patch coordinate per l’intera suite.

In assenza di un aggiornamento immediato, F5 ha indicato alcune misure di mitigazione temporanea. Per la CVE-2026-42530 è possibile disabilitare il supporto HTTP/3 rimuovendo il parametro “quic” dalle direttive di ascolto. Nel caso della CVE-2026-42055, la mitigazione passa invece attraverso la rimozione della direttiva “ignore_invalid_headers off” e la riduzione del valore di large_client_header_buffers al di sotto dei 2 megabyte. Si tratta di interventi che riducono la superficie d’attacco ma che possono anche influire sulle prestazioni o sulla compatibilità con alcune configurazioni applicative.

F5 NGINX

Crediti: Shutterstock

Oltre alle due vulnerabilità critiche, F5 ha corretto anche due falle ad alta severità che interessano NGINX Gateway Fabric e che possono essere sfruttate da attaccanti autenticati per iniettare direttive di configurazione NGINX arbitrarie. Questo tipo di attacco è particolarmente delicato perché consente di modificare il comportamento del server web, potenzialmente aprendo la strada a ulteriori compromissioni, escalation di privilegi o deviazione del traffico.

F5 non ha al momento rilevato exploit attivi in ambiente reale per queste vulnerabilità specifiche, ma il contesto storico del vendor suggerisce un livello di rischio elevato. Negli ultimi anni, infatti, diverse vulnerabilità nei prodotti F5 sono state sfruttate sia da gruppi criminali, sia da attori sponsorizzati da stati nazionali per compromettere infrastrutture aziendali, installare malware distruttivo, mappare reti interne e sottrarre dati sensibili. 

Anche le agenzie governative hanno mantenuto alta l’attenzione su questo ecosistema software. La Cybersecurity and Infrastructure Security Agency (CISA) ha segnalato negli ultimi anni almeno sette vulnerabilità F5 come attivamente sfruttate in attacchi reali, quattro delle quali collegate a campagne ransomware. Questo dato evidenzia come i componenti di application delivery networking siano diventati un bersaglio prioritario per gruppi criminali, data la loro posizione strategica nel flusso del traffico aziendale.

La diffusione globale di F5 amplifica ulteriormente il potenziale impatto. L’azienda serve oltre 23.000 clienti in tutto il mondo, inclusi 48 delle prime 50 aziende Fortune e circa l’80% delle società della Fortune Global 500. Questo significa che una vulnerabilità nei suoi prodotti non è mai un problema isolato, ma può tradursi rapidamente in un rischio sistemico per infrastrutture critiche, servizi cloud e reti aziendali su scala globale.

(Immagine in apertura: Shutterstock)