สรุปสั้น
บริษัท F5 ออกแพตช์ความปลอดภัยนอกรอบปกติ (out-of-band) เพื่อแก้ไขช่องโหว่หลายรายการใน NGINX web server รวมถึง 2 ช่องโหว่ระดับวิกฤตที่เปิดให้ผู้โจมตีรันโค้ดบนระบบได้จากระยะไกลโดยไม่ต้องยืนยันตัวตน ช่องโหว่แรก CVE-2026-42530 อยู่ใน ngx_http_v3_module (HTTP/3) และช่องโหว่ที่สอง CVE-2026-42055 อยู่ใน ngx_http_proxy_v2_module และ ngx_http_grpc_module ทั้งคู่ทำให้เกิด use-after-free หรือ heap-based buffer overflow ใน NGINX worker process ส่งผลให้ process restart หรือรันโค้ดได้ในระบบที่ปิด ASLR หรือผู้โจมตี bypass ASLR ได้
F5 ยังแก้ไขช่องโหว่ระดับ high-severity อีก 2 รายการใน NGINX Gateway Fabric (CVE-2026-11311 และ CVE-2026-50107) ที่ให้ผู้โจมตีที่ผ่านการยืนยันตัวตนฉีด NGINX configuration directive ได้ แม้ F5 จะยังไม่พบการโจมตีจริง แต่ช่องโหว่ใน F5 เคยถูกใช้โจมตีอย่างหนักในอดีต รวมถึงกรณีที่กลุ่ม state-backed เจาะระบบ F5 เมื่อสิงหาคม 2568 และขโมย source code
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 18 มิถุนายน พ.ศ. 2569 ว่าบริษัท F5 ออกแพตช์ความปลอดภัยนอกรอบปกติเพื่อแก้ไขช่องโหว่หลายรายการใน NGINX web server ช่องโหว่ระดับวิกฤต 2 รายการคือ CVE-2026-42530 ใน ngx_http_v3_module และ CVE-2026-42055 ใน ngx_http_proxy_v2_module และ ngx_http_grpc_module ทั้งสองสามารถถูก exploit โดยผู้โจมตีจากระยะไกลที่ไม่ต้องยืนยันตัวตนเพื่อทำ denial-of-service หรือรันโค้ดบนระบบ NGINX ที่ใช้ configuration แบบ non-default
การ exploit สำเร็จจะทำให้เกิด use-after-free หรือ heap-based buffer overflow ใน NGINX worker process ส่งผลให้ process restart ได้ และในทั้งสองกรณีสามารถรันโค้ดได้ในระบบที่ปิด Address Space Layout Randomization (ASLR) หรือเมื่อผู้โจมตี bypass ASLR ได้ ผลิตภัณฑ์ที่ได้รับผลกระทบครอบคลุม NGINX Plus, NGINX Open Source, NGINX Gateway Fabric และ NGINX Instance Manager บริษัท F5 เป็นบริษัท Fortune 500 ให้บริการ cybersecurity และ application delivery networking แก่ลูกค้ากว่า 23,000 รายทั่วโลก รวมถึง 48 จาก 50 บริษัท Fortune 50 และ 80% ของ Fortune Global 500 ช่องโหว่ใน F5 เคยถูกใช้โจมตีอย่างหนักทั้งจากกลุ่มอาชญากรไซเบอร์และ nation-state รวมถึงเหตุการณ์ที่กลุ่ม state-backed เจาะระบบ F5 เมื่อสิงหาคม 2568 และขโมยช่องโหว่ BIG-IP ที่ยังไม่เปิดเผยพร้อม source code
รายละเอียดช่องโหว่
CVE-2026-42530 เป็นช่องโหว่ใน HTTP/3 module (ngx_http_v3_module) ของ NGINX ที่สามารถทำให้เกิด use-after-free หรือ heap-based buffer overflow ใน worker process ผู้ดูแลระบบที่ยังไม่สามารถแพตช์ได้ทันทีสามารถ mitigate โดยลบ quic ออกจาก listen directive ทั้งหมดเพื่อปิด HTTP/3
CVE-2026-42055 เป็นช่องโหว่ในลักษณะเดียวกันแต่อยู่ใน ngx_http_proxy_v2_module และ ngx_http_grpc_module การ mitigate ทำได้โดยลบ ignore_invalid_headers off directive ออกจาก configuration และลดขนาด large_client_header_buffers directive ให้ต่ำกว่า 2 เมกะไบต์
ทั้งสองช่องโหว่ต้องใช้ configuration แบบ non-default จึงจะถูก exploit ได้ แต่เนื่องจาก NGINX เป็น web server ที่ถูกปรับแต่ง config อย่างหนักในสภาพแวดล้อมจริง จำนวนระบบที่มีความเสี่ยงจึงอาจสูงกว่าที่คาดไว้
ผลกระทบต่อไทย
NGINX เป็น web server และ reverse proxy ที่ใช้กันอย่างแพร่หลายในองค์กรไทย ทั้งสำหรับเว็บไซต์สาธารณะ, API gateway, load balancer และ microservices โดยเฉพาะ NGINX Plus ที่ใช้ในภาคธนาคาร อีคอมเมิร์ซ และหน่วยงานรัฐ หากระบบใช้ HTTP/3 (QUIC) หรือ proxy protocol v2 ด้วย configuration แบบ non-default ก็มีความเสี่ยงต่อการถูกโจมตีจากระยะไกลโดยไม่ต้องยืนยันตัวตน การที่ F5 ออกแพตช์นอกรอบปกติสะท้อนถึงความรุนแรงของช่องโหว่
คำแนะนำ
ผู้ดูแลระบบที่ใช้ NGINX Plus, NGINX Open Source, NGINX Gateway Fabric หรือ NGINX Instance Manager ควรอัปเดตเป็นเวอร์ชันที่แก้ไขแล้วโดยเร็วที่สุด หากยังไม่สามารถแพตช์ได้ทันที ควร mitigate CVE-2026-42530 โดยลบ quic จาก listen directive ทั้งหมด และ mitigate CVE-2026-42055 โดยลบ ignore_invalid_headers off และลดขนาด large_client_header_buffers ให้ต่ำกว่า 2 MB ควรตรวจสอบ log ย้อนหลังสำหรับ NGINX worker process crash ที่ผิดปกติ และติดตามประกาศจาก F5 อย่างใกล้ชิด
