Giriş
F5, NGINX web sunucusundaki birkaç ciddi güvenlik açığını gidermek için acil güvenlik güncellemeleri yayınladı. Bu açıklar, kötü niyetli saldırganların hedef alınan sistemlerde kod çalıştırmasına olanak tanıyabilir.
Saldırı Nasıl Çalışıyor?
İki kritik güvenlik açığı, CVE-2026-42530 ve CVE-2026-42055, sırasıyla ngx_http_v3_module ve ngx_http_proxy_v2_module ile ngx_http_grpc_module içinde tespit edilmiştir. Bu açıklar, kimlik doğrulaması gerektirmeden uzaktan erişim sağlanarak aşağıdaki sonuçlara yol açabilir:
- Denial-of-service (DoS) saldırısı tetiklemek
- NGINX sistemlerinde kod yürütmek
Başarılı bir şekilde suistimal edildiğinde, NGINX işçi süreçlerinde kullanımdan sonra serbest bırakma (use-after-free) veya yığın tabanlı tampon taşması (heap-based buffer overflow) şeklinde sorunlar yaratmakta ve bu da sistemin yeniden başlatılmasına neden olmaktadır. Bu açıklar, Address Space Layout Randomization (ASLR) devre dışı bırakıldığında veya ASLR’i atlatan bir saldırgan tarafından kullanılabilmektedir.
Etkilenen Sistemler
CVE-2026-42530 ve CVE-2026-42055 ile etkilenmiş NGINX yazılım ürünleri şunlardır:
- NGINX Plus
- NGINX Open Source
- NGINX Gateway Fabric
- NGINX Instance Manager
F5, bu iki güvenlik açığından etkilenen ürünler için güvenlik düzeltmeleri yayınlamıştır.
Çözüm ve Korunma
Güvenlik güncellemelerini hemen yükleyemeyen yöneticiler için önerilen geçici çözümler:
- CVE-2026-42530 için: HTTP/3’ü devre dışı bırakmak (tüm dinleme direktiflerinden “quic” kaldırmak).
- CVE-2026-42055 için: “ignore_invalid_headers off” direktifini yapılandırmadan kaldırmak ve “large_client_header_buffers” direktifinin boyutunu 2 megabaytın altına düşürmek.
Ayrıca, F5, yüksek seviyeli iki NGINX Gateway Fabric güvenlik açığının da mevcut olduğunu duyurdu; bunlar CVE-2026-11311 ve CVE-2026-50107 olarak izlenmektedir. Bu açıklar, kimlik doğrulaması yapılmış saldırganlar tarafından rastgele NGINX yapılandırma direktiflerinin enjekte edilmesine olanak tanır.
Sonuç
F5, bu güvenlik sorunlarının henüz saldırılarda istismar edildiğini belirtmemiştir. Ancak, geçmişte F5 güvenlik açıklarının siber suçlar ve devlet destekli tehdit grupları tarafından kullanıldığı bilinmektedir. Okuyuculara önerimiz, derhal sistemlerini güncellemeleri ve yukarıdaki geçici çözümleri uygulayarak olası saldırılara karşı önlem almalarıdır. Ayrıca, sistem ayarlarını kontrol ederek ve potansiyel olarak tehlikeli portları kapatarak güvenliği artırmak önemlidir.
