Acil: F5, Uzaktan Kod Çalıştırma Açığını Kapatmak İçin Yamanıyor

Giriş

F5, NGINX Open Source’ta bulunan iki kritik güvenlik açığı için güncellemeler yayımladı. Bu açıklar, etkilenen sistemlerde kod yürütme tehdidi oluşturuyor ve görünüşte kötü niyetli aktörler tarafından kullanılabilir.

Saldırı Nasıl Çalışıyor?

Aşağıda belirtilen güvenlik açıkları dikkat çekmektedir:

• CVE-2026-42530 (CVSS v4 puanı: 9.2) – Bu, uzaktan kimlik doğrulaması yapılmamış bir saldırgan tarafından tetiklenebilen bir “use-after-free” açığıdır. NGINX Open Source, HTTP/3 QUIC modülünü kullanacak şekilde yapılandırıldığında ve bir HTTP/3 oturumu aracılığıyla özel olarak hazırlanmış bir QPACK kodlayıcı akışını yeniden açmaya çalıştığında bu açık kullanılabilir. Özellikle, adres alanı düzenleme rasgeleleşmesi (ASLR) devre dışı bırakıldığında veya saldırganın ASLR’yi atlatabildiği durumlarda sistemlerde kod yürütülmesine olanak tanır.
• CVE-2026-42055 (CVSS v4 puanı: 9.2) – Bu, nginx_http_proxy_v2_module ve ngx_http_grpc_module modüllerinde bulunan bir heap tabanlı tampona taşma açığıdır. Uzaktan kimlik doğrulaması yapılmamış bir saldırgan, proxy_http_version 2 veya grpc_pass yönergeleri kullanıldığında, ignore_invalid_headers yönergesi kapalı olduğunda ve large_client_header_buffers yönerge boyutu 2 MB’dan büyük olduğunda bu açığı tetikleyebilir. Bu durumda da ASLR devre dışı bırakıldığında veya saldırganın ASLR’yi atlatması mümkün olduğunda sistemlerde kod yürütülmesine yol açabilir.

Etkilenen Sistemler

Her iki zafiyet, aşağıdaki versiyonlarda düzeltilmiştir:

• CVE-2026-42530 –
  • NGINX Open Source 1.31.0 – 1.31.1 (1.31.2’de düzeltildi)
  • NGINX Gateway Fabric 2.0.0 – 2.6.3 (2.6.4’te düzeltildi)
  • NGINX Gateway Fabric 1.3.0 – 1.6.2
  • NGINX Instance Manager 2.17.0 – 2.22.0
  • NGINX Ingress Controller 5.0.0 – 5.5.0
  • NGINX Ingress Controller 4.0.0 – 4.0.1
  • NGINX Ingress Controller 3.5.0 – 3.7.2
• CVE-2026-42055 –
  • NGINX Plus 37.0.0 – 37.0.1 (37.0.2.1’de düzeltildi)
  • NGINX Plus R33 – R36 (R36 P6’da düzeltildi)
  • NGINX Open Source 1.31.1 (1.31.2’de düzeltildi)
  • NGINX Open Source 1.30.0 – 1.30.2 (1.30.3’te düzeltildi)
  • NGINX Instance Manager 2.17.0 – 2.22.0
  • F5 WAF for NGINX 5.9.0 – 5.13.1
  • NGINX App Protect WAF 5.2.0 – 5.8.0
  • NGINX App Protect WAF 4.10.0 – 4.16.0
  • F5 DoS for NGINX 4.9.0
  • NGINX App Protect DoS 4.3.0 – 4.7.0
  • NGINX Gateway Fabric 2.0.0 – 2.6.3 (2.6.4’te düzeltildi)
  • NGINX Gateway Fabric 1.3.0 – 1.6.2
  • NGINX Ingress Controller 5.0.0 – 5.5.0
  • NGINX Ingress Controller 4.0.0 – 4.0.1
  • NGINX Ingress Controller 3.5.0 – 3.7.2

Çözüm ve Korunma

F5, bu iki açık için aşağıdaki tedbirleri önermektedir:

• CVE-2026-42530 için – HTTP/3’ü devre dışı bırakın.
• CVE-2026-42055 için – Yapılandırmadan ignore_invalid_headers off yönergesini kaldırın veya large_client_header_buffers yönergesi boyutunu 2 MB’dan daha düşük olacak şekilde azaltın.

Son olarak, F5, bu güvenlik açıklarının kötü niyetli aktörler tarafından aktif olarak kullanıldığına dair herhangi bir bilgi sunmuyor. Ancak, F5 ürünlerindeki güvenlik açıklarının, geçmişte yine kötü aktörler tarafından sık sık istismar edildiği unutulmamalıdır. Son olarak, geçen ay, NGINX Plus ve NGINX Open Source’daki başka bir kritik güvenlik açığı (CVE-2026-42945, CVSS puanı: 9.2) yayımlandıktan sadece birkaç gün sonra aktif olarak istismar edilmeye başlandı.

Okuyucuların, sistemlerini güncellemeleri ve önerilen önlemleri almaları önemlidir. Güvenliğiniz için bu açıkları göz ardı etmeyin.