A F5 lançou atualizações de segurança para o NGINX Open Source, reparando duas falhas críticas que podem permitir a execução remota de código em servidores vulneráveis. Essas falhas, que receberem a nota 9.2 na escala CVSS v4, tornam os sistemas alvo de ataques, potencialmente comprometendo dados e funcionalidades.
A primeira vulnerabilidade afeta o módulo ngx_http_v3_module e é classificada como use-after-free, um tipo de erro que ocorre quando o sistema tenta acessar memória já liberada. A exploração dessa falha é facilitada quando o NGINX está configurado para usar o protocolo HTTP/3, especialmente se o ASLR (Address Space Layout Randomization) estiver desativado, tornando o ataque mais viável.
A segunda falha, um estouro de buffer na memória heap, impacta os módulos ngx_http_proxy_v2_module e ngx_http_grpc_module. Para que essa vulnerabilidade seja explorada, uma configuração específica do servidor e a desativação de certas diretivas são necessárias. A falta de proteção adequada também facilita a ação de cibercriminosos.
Embora a F5 não tenha relatado a exploração ativa dessas falhas até o momento, o histórico de ataques a produtos da empresa gera preocupação. Casos anteriores mostraram que vulnerabilidades declaradas rapidamente se tornaram alvos de atacantes.
Publicidade
Enquanto as atualizações não são aplicadas, a F5 recomenda medidas de mitigação, como desativar o suporte ao HTTP/3 ou ajustar configurações no servidor, reduzindo o risco de exploração. A empresa disponibilizou correções para várias versões do NGINX, tornando essencial que os administradores de sistema realizem as atualizações o quanto antes.