サイバーセキュリティ企業のF5は、NGINXウェブサーバーの複数の脆弱性に対処するためのアウトオブバンドセキュリティアップデートを公開しました。これには、脆弱なシステム上で攻撃者によるコード実行を可能にするおそれのある、深刻度「クリティカル」の欠陥2件が含まれています。
クリティカルと評価された2件の脆弱性は、ngx_http_v3_module(CVE-2026-42530)およびngx_http_proxy_v2_moduleとngx_http_grpc_module(CVE-2026-42055)に発見されたものです。いずれも、非デフォルト設定のNGINXシステムにおいて、認証なしのリモート攻撃者がサービス拒否(DoS)攻撃やコード実行を引き起こすことに悪用できます。
悪用に成功すると、NGINXワーカープロセスで解放後使用(Use-After-Free)またはヒープベースのバッファオーバーフローが発生し、プロセスが再起動します。また、いずれの脆弱性も「アドレス空間配置のランダム化(ASLR)が無効なシステム、またはASLRをバイパスできる場合にはコードを実行できる」とされています。
F5はこれら2件の脆弱性の影響を受ける複数のNGINXソフトウェア製品向けにセキュリティ修正を公開しており、NGINX PlusおよびNGINX Open Source、NGINX Gateway Fabric、NGINX Instance Managerが対象に含まれています。
セキュリティアップデートをすぐに適用できない管理者向けの緩和策として、CVE-2026-42530についてはHTTP/3を無効化する(すべてのlistenディレクティブからquicを削除する)方法が、CVE-2026-42055についてはignore_invalid_headers offディレクティブを設定から削除し、large_client_header_buffersディレクティブのサイズを2メガバイト未満に縮小する方法が案内されています。
さらにF5は、高深刻度のNGINX Gateway Fabricのセキュリティ欠陥2件にも対処しました。CVE-2026-11311 および CVE-2026-50107として追跡されているこれらの欠陥は、認証済みの攻撃者が任意のNGINX設定ディレクティブを挿入するために悪用できます。
F5はこれらのセキュリティ問題が実際の攻撃で悪用されたとは報告していませんが、近年F5製品の脆弱性はサイバー犯罪グループや国家支援型の脅威グループによって頻繁に標的にされてきました。
例えば、攻撃者はF5製品のセキュリティ上の欠陥を悪用して企業ネットワークへの侵入やデータ消去型マルウェアの展開、内部サーバーのマッピング、デバイスの乗っ取り、そして世界中の被害者からの機密文書の窃取を行ってきました。
またF5は10月に公表したところによると、2025年8月に国家支援型の攻撃者が同社のシステムに侵入し、未公開のBIG-IPセキュリティ脆弱性とソースコードを窃取していたことが明らかになっています。
過去数年間で、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)はF5の脆弱性7件を積極的に悪用されているものとして指定しており、そのうち4件はランサムウェア攻撃の標的となっています。
F5はフォーチュン500のテクノロジー企業であり、サイバーセキュリティやアプリケーションデリバリーネットワーキング(ADN)をはじめとする各種サービスを、フォーチュン50企業の48社やフォーチュン・グローバル500の80%を含む世界23,000社以上の顧客に提供しています。
攻撃者より先にすべてのレイヤーをテストする
セキュリティチームは成功した攻撃の54%をログに記録していますが、アラートを発するのはわずか14%に過ぎません。残りの脅威は検知されることなく環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMおよびEDRのルールをテストし、脅威の検知漏れを防ぐ方法を解説しています。
