สรุปสั้น
F5 ออก quarterly security notification ประจำเดือนพฤษภาคม 2569 แก้ไขช่องโหว่ทั้งหมด 51 ตัว แบ่งเป็น 19 ตัว ระดับ High-severity และ 32 ตัว ระดับ Medium-severity กระทบผลิตภัณฑ์หลัก 3 ตัว: BIG-IP, BIG-IQ และ NGINX ช่องโหว่ร้ายแรงที่สุดคือ CVE-2026-42945 ใน NGINX ngx_http_rewrite_module (CVSS v4 9.2) ยังมีช่องโหว่ RCE และ command injection หลายตัวใน BIG-IP ที่ต้องการ authentication ณ เวลาเผยแพร่ ยังไม่พบการโจมตีจริง แต่ BIG-IP เป็นเป้าหมายยอดนิยมของผู้โจมตี
รายละเอียดข่าว
F5 เป็นผู้ผลิต Application Delivery Controller (ADC) และ Load Balancer ที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่ทั่วโลก ผลิตภัณฑ์ BIG-IP มักอยู่ในตำแหน่งที่สำคัญของเครือข่าย เป็น gateway ระหว่างอินเทอร์เน็ตกับแอปพลิเคชันภายใน การออกแพตช์ครั้งนี้เป็นส่วนหนึ่งของ quarterly security notification ที่ F5 ออกทุกไตรมาส จำนวน 51 ช่องโหว่ถือว่าสูงกว่าปกติ สะท้อนถึงความซับซ้อนที่เพิ่มขึ้นของผลิตภัณฑ์ ประวัติที่ผ่านมา BIG-IP เคยเป็นเป้าหมายของการโจมตีหลายครั้ง เช่น CVE-2020-5902 ที่ถูกใช้อย่างกว้างขวาง แม้ช่องโหว่หลายตัวต้องการ authentication แต่ในสถานการณ์จริงผู้โจมตีอาจ chain กับ credential theft เพื่อใช้ประโยชน์ F5 แนะนำให้ลูกค้าทุกรายวางแผนอัปเดตโดยเร็ว
รายละเอียดช่องโหว่
CVE-2026-42945 — NGINX Rewrite Module DoS/RCE (CVSS v4 9.2)
- Heap buffer overflow ใน ngx_http_rewrite_module
- ผู้โจมตีส่ง request ที่ดัดแปลงเพื่อทำ denial-of-service หรือ RCE
- กระทบ NGINX Plus และ NGINX Open Source
CVE-2026-41225 — iControl REST Command Execution (CVSS v4 8.6)
- ช่องโหว่ใน iControl REST API ของ BIG-IP
- ผู้โจมตีที่มีสิทธิ์ Manager ขึ้นไปสามารถสร้าง configuration objects ที่นำไปสู่ command execution
CVE-2026-41957, CVE-2026-34176, CVE-2026-39459 — BIG-IP RCE/Command Injection
- Remote code execution และ remote command injection ใน BIG-IP
- ต้องการ authentication แต่อนุญาตให้ execute commands บนระบบ
ช่องโหว่อื่นๆ:
- 1 ตัว restriction bypass
- 1 ตัว arbitrary file tampering
- 12 ตัว denial-of-service
- Medium: privilege escalation, information disclosure, code injection
ผลกระทบต่อไทย
BIG-IP เป็นอุปกรณ์ที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่ของไทย ทั้งธนาคาร บริษัทโทรคมนาคม หน่วยงานรัฐ และผู้ให้บริการ cloud ในประเทศ อุปกรณ์เหล่านี้มักอยู่ตำแหน่งที่เข้าถึงได้จากอินเทอร์เน็ตและเป็น gateway สู่ระบบภายใน
NGINX ก็เป็น web server ที่ใช้มากที่สุดในไทยทั้งในฐานะ reverse proxy และ load balancer ช่องโหว่ CVE-2026-42945 กระทบเว็บไซต์จำนวนมากที่ใช้ NGINX rewrite rules
คำแนะนำ
- วางแผนอัปเดต BIG-IP และ NGINX เป็นเวอร์ชันที่แพตช์แล้วโดยเร็ว
- ให้ความสำคัญกับ CVE-2026-42945 (NGINX) เป็นอันดับแรกเพราะไม่ต้อง authentication
- ตรวจสอบว่า iControl REST API ไม่ถูกเปิดให้เข้าถึงจากอินเทอร์เน็ต
- จำกัดสิทธิ์ผู้ใช้ BIG-IP ให้น้อยที่สุด (least privilege)
- เฝ้าระวัง logs ของ BIG-IP สำหรับ configuration changes ที่ไม่ได้รับอนุญาต
