สรุปสั้น

F5 ออก quarterly security notification ประจำเดือนพฤษภาคม 2569 แก้ไขช่องโหว่ทั้งหมด 51 ตัว แบ่งเป็น 19 ตัว ระดับ High-severity และ 32 ตัว ระดับ Medium-severity กระทบผลิตภัณฑ์หลัก 3 ตัว: BIG-IP, BIG-IQ และ NGINX ช่องโหว่ร้ายแรงที่สุดคือ CVE-2026-42945 ใน NGINX ngx_http_rewrite_module (CVSS v4 9.2) ยังมีช่องโหว่ RCE และ command injection หลายตัวใน BIG-IP ที่ต้องการ authentication ณ เวลาเผยแพร่ ยังไม่พบการโจมตีจริง แต่ BIG-IP เป็นเป้าหมายยอดนิยมของผู้โจมตี

รายละเอียดข่าว

F5 เป็นผู้ผลิต Application Delivery Controller (ADC) และ Load Balancer ที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่ทั่วโลก ผลิตภัณฑ์ BIG-IP มักอยู่ในตำแหน่งที่สำคัญของเครือข่าย เป็น gateway ระหว่างอินเทอร์เน็ตกับแอปพลิเคชันภายใน การออกแพตช์ครั้งนี้เป็นส่วนหนึ่งของ quarterly security notification ที่ F5 ออกทุกไตรมาส จำนวน 51 ช่องโหว่ถือว่าสูงกว่าปกติ สะท้อนถึงความซับซ้อนที่เพิ่มขึ้นของผลิตภัณฑ์ ประวัติที่ผ่านมา BIG-IP เคยเป็นเป้าหมายของการโจมตีหลายครั้ง เช่น CVE-2020-5902 ที่ถูกใช้อย่างกว้างขวาง แม้ช่องโหว่หลายตัวต้องการ authentication แต่ในสถานการณ์จริงผู้โจมตีอาจ chain กับ credential theft เพื่อใช้ประโยชน์ F5 แนะนำให้ลูกค้าทุกรายวางแผนอัปเดตโดยเร็ว

รายละเอียดช่องโหว่

CVE-2026-42945 — NGINX Rewrite Module DoS/RCE (CVSS v4 9.2)

  • Heap buffer overflow ใน ngx_http_rewrite_module
  • ผู้โจมตีส่ง request ที่ดัดแปลงเพื่อทำ denial-of-service หรือ RCE
  • กระทบ NGINX Plus และ NGINX Open Source

CVE-2026-41225 — iControl REST Command Execution (CVSS v4 8.6)

  • ช่องโหว่ใน iControl REST API ของ BIG-IP
  • ผู้โจมตีที่มีสิทธิ์ Manager ขึ้นไปสามารถสร้าง configuration objects ที่นำไปสู่ command execution

CVE-2026-41957, CVE-2026-34176, CVE-2026-39459 — BIG-IP RCE/Command Injection

  • Remote code execution และ remote command injection ใน BIG-IP
  • ต้องการ authentication แต่อนุญาตให้ execute commands บนระบบ

ช่องโหว่อื่นๆ:

  • 1 ตัว restriction bypass
  • 1 ตัว arbitrary file tampering
  • 12 ตัว denial-of-service
  • Medium: privilege escalation, information disclosure, code injection

ผลกระทบต่อไทย

BIG-IP เป็นอุปกรณ์ที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่ของไทย ทั้งธนาคาร บริษัทโทรคมนาคม หน่วยงานรัฐ และผู้ให้บริการ cloud ในประเทศ อุปกรณ์เหล่านี้มักอยู่ตำแหน่งที่เข้าถึงได้จากอินเทอร์เน็ตและเป็น gateway สู่ระบบภายใน

NGINX ก็เป็น web server ที่ใช้มากที่สุดในไทยทั้งในฐานะ reverse proxy และ load balancer ช่องโหว่ CVE-2026-42945 กระทบเว็บไซต์จำนวนมากที่ใช้ NGINX rewrite rules

คำแนะนำ

  • วางแผนอัปเดต BIG-IP และ NGINX เป็นเวอร์ชันที่แพตช์แล้วโดยเร็ว
  • ให้ความสำคัญกับ CVE-2026-42945 (NGINX) เป็นอันดับแรกเพราะไม่ต้อง authentication
  • ตรวจสอบว่า iControl REST API ไม่ถูกเปิดให้เข้าถึงจากอินเทอร์เน็ต
  • จำกัดสิทธิ์ผู้ใช้ BIG-IP ให้น้อยที่สุด (least privilege)
  • เฝ้าระวัง logs ของ BIG-IP สำหรับ configuration changes ที่ไม่ได้รับอนุญาต

แหล่งอ้างอิง