NGINX serveringiz xavfsizligiga ishonchingiz komilmi? F5 masofadan turib kod bajarishga olib kelishi mumkin bo’lgan xavfli zaifliklar haqida ogohlantirdi!

F5 kompaniyasi NGINX Plus va NGINX Open Source mahsulotlarida aniqlangan bir nechta xavfli xavfsizlik zaifliklari yuzasidan rasmiy ogohlantirish e’lon qildi. Mutaxassislarning ta’kidlashicha, ushbu zaifliklar muvaffaqiyatli ekspluatatsiya qilingan taqdirda, tajovuzkorlar xotira buzilishiga (Memory Corruption), xizmatning ishlashdan to’xtashiga (Denial of Service) hamda ayrim holatlarda masofadan turib ixtiyoriy kodni bajarishga (Remote Code Execution) erishishi mumkin.

Aniqlangan zaifliklar NGINX Plus, NGINX Open Source, NGINX Ingress Controller, NGINX Gateway Fabric, NGINX App Protect WAF va NGINX Instance Manager kabi keng qo’llaniladigan komponentlarga ta’sir qilmoqda. Mazkur mahsulotlar internetga ochiq veb-ilovalar, API xizmatlari, konteyner platformalari va bulut infratuzilmalarida keng qo’llanilgani sababli, xavfsizlik mutaxassislari yangilanishlarni kechiktirmasdan o’rnatishni tavsiya qilmoqda.

Eng xavfli zaiflik — CVE-2026-42533

Aniqlangan zaifliklar ichida eng jiddiysi CVE-2026-42533 bo’lib, unga CVSS v3.1 bo’yicha 8.1, CVSS v4.0 bo’yicha esa 9.2 ball berilgan.

Mazkur zaiflik Heap Buffer Overflow turiga mansub bo’lib, NGINX‘dagi map direktivasi va regex (muntazam ifodalar) bilan ishlash jarayonidagi mantiqiy xatolik sabab yuzaga keladi.

Tajovuzkor maxsus tayyorlangan HTTP so’rovlarini yuborish orqali NGINX ishchi jarayonining (Worker Process) xotirasini buzishi mumkin.

Muvaffaqiyatli ekspluatatsiya quyidagi oqibatlarga olib kelishi ehtimoldan xoli emas:

  • NGINX xizmatining ishdan chiqishi;
  • ishchi jarayonlarning (Worker Process) qulashiga sabab bo’lishi;
  • xotira buzilishi (Memory Corruption);
  • ASLR (Address Space Layout Randomization) himoyasi mavjud bo’lmagan yoki chetlab o’tilgan tizimlarda masofadan turib ixtiyoriy kodni bajarish.

F5 vaqtinchalik himoya chorasi sifatida nomlanmagan (unnamed) regex capture o’rniga nomlangan (named) regex capture usulidan foydalanishni tavsiya qilmoqda.

CVE-2026-60005 — Boshlang’ich qiymati berilmagan xotiradan ma’lumot sizib chiqishi

Ikkinchi zaiflik CVE-2026-60005 bo’lib, unga CVSS 8.2 (v3.1) va 8.8 (v4.0) ball berilgan.

Mazkur muammo ngx_http_slice_module modulida aniqlangan. Ushbu modul odatda standart holatda yoqilgan bo’lmaydi va faqat maxsus parametr bilan kompilyatsiya qilingan tizimlarda ishlaydi.

Zaiflik sabab:

  • boshlang’ich qiymati berilmagan xotira qismlaridagi ma’lumotlar oshkor bo’lishi;
  • cheklangan hajmdagi maxfiy ma’lumotlarning sizib chiqishi;
  • NGINX Worker jarayonining qayta ishga tushishi mumkin.

Bu holatda ham F5 nomlangan regex capture usulidan foydalanishni tavsiya etmoqda.

CVE-2026-56434 — Use-After-Free zaifligi

Uchinchi zaiflik CVE-2026-56434 bo’lib, Use-After-Free turiga mansub.

Mazkur muammo ngx_http_ssi_module modulida aniqlangan.

Agar:

  • Server-Side Includes (SSI) funksiyasi yoqilgan bo’lsa;
  • proxy_pass ishlatilayotgan bo’lsa;
  • proxy_buffering off sozlamasi qo’llanilgan bo’lsa,

tarmoqdagi «Man-in-the-Middle (MitM)» hujumchisi yuqori oqim (Upstream) serveridan yuborilayotgan javoblarni manipulyatsiya qilib, xotira bilan bog’liq xatolikni yuzaga keltirishi mumkin.

Natijada:

  • xizmatning ishlashdan to’xtashi;
  • xotira tarkibining qisman o’zgarishi;
  • Worker Process’ning qulashiga sabab bo’lishi mumkin.

Mazkur zaiflik uchun vaqtinchalik himoya usuli mavjud emas. Uni bartaraf etishning yagona yo’li — xavfsizlik yangilanishlarini o’rnatishdir.

Qaysi mahsulotlar ta’sirlangan?

Zaifliklar quyidagi mahsulotlarga ta’sir ko’rsatadi:

  • NGINX Plus 37.x;
  • NGINX Open Source 1.x;
  • NGINX Ingress Controller;
  • NGINX Gateway Fabric;
  • NGINX App Protect WAF;
  • NGINX Instance Manager.

Muammo quyidagi versiyalarda bartaraf etilgan:

  • NGINX Plus 37.0.3.1;
  • NGINX Open Source 1.31.3;
  • NGINX Open Source 1.30.4.

Shuningdek, Ingress Controller, Gateway Fabric, App Protect WAF va Instance Manager mahsulotlari uchun ham tegishli yangilanishlar bosqichma-bosqich taqdim etilmoqda.

Fortinet emas, balki F5 kompaniyasi quyidagi mahsulotlar ushbu zaifliklardan ta’sirlanmaganini ham alohida qayd etdi:

  • BIG-IP;
  • BIG-IQ;
  • F5 Distributed Cloud;
  • F5OS;
  • F5 AI Gateway.

Zaifliklar faqat NGINX Data Plane komponentlariga taalluqlidir.

Nima uchun bu zaifliklar juda muhim?

Bugungi kunda NGINX dunyo bo’ylab eng ko’p qo’llaniladigan veb-server va reverse proxy yechimlaridan biri hisoblanadi.

Millionlab:

  • veb-saytlar;
  • REST API xizmatlari;
  • Kubernetes klasterlari;
  • mikroxizmatlar;
  • bulut infratuzilmalari;
  • DevOps platformalari

NGINX asosida ishlaydi.

Shu sababli NGINX’dagi har qanday xavfsizlik zaifligi juda katta miqyosdagi infratuzilmalarga ta’sir ko’rsatishi mumkin.

Ayniqsa CVE-2026-42533 zaifligi muvaffaqiyatli ekspluatatsiya qilingan taqdirda masofadan turib kod bajarish imkoniyatini yaratishi sababli tajovuzkorlar uchun eng jozibador nishonlardan biri sifatida baholanmoqda.

Himoyalanish bo’yicha tavsiyalar

F5 va axborot xavfsizligi mutaxassislari quyidagi choralarni amalga oshirishni tavsiya etmoqda:

  • NGINX Plus va NGINX Open Source’ning xavfsiz versiyalariga zudlik bilan yangilash;
  • Ingress Controller, Gateway Fabric, App Protect WAF va Instance Manager uchun chiqarilgan yangilanishlarni o’rnatish;
  • map direktivalarida imkon qadar named regex capture usulidan foydalanish;
  • SSI modulidan foydalanayotgan tizimlarni alohida auditdan o’tkazish;
  • internetga ochiq NGINX serverlarini doimiy monitoring qilish;
  • noodatiy HTTP so’rovlari va Worker Process qulashlarini kuzatib borish;
  • WAF va IDS/IPS yechimlari orqali zararli trafikni aniqlash va bloklash;
  • tizim konfiguratsiyalarini muntazam audit qilish hamda eng kam zarur funksiyalarni yoqilgan holda ishlatish.

F5 tomonidan bartaraf etilgan CVE-2026-42533, CVE-2026-60005 va CVE-2026-56434 zaifliklari internetga ochiq NGINX infratuzilmalarining xavfsizligiga jiddiy tahdid tug’diradi. Ayniqsa Heap Buffer Overflow orqali masofadan turib kod bajarish ehtimoli mavjudligi ushbu zaiflikni eng muhim xavflardan biriga aylantirmoqda.

NGINX bugungi kunda internet infratuzilmasining asosiy tarkibiy qismlaridan biri hisoblanadi. Shu bois undan foydalanuvchi tashkilotlar xavfsizlik yangilanishlarini kechiktirmasdan o’rnatishi, konfiguratsiyalarni qayta ko’rib chiqishi va internetga ochiq xizmatlarni uzluksiz monitoring ostida saqlashi zarur. O’z vaqtida amalga oshirilgan yangilanish va qat’iy xavfsizlik nazorati yirik kiberhujumlarning oldini olishda eng samarali himoya choralaridan biri bo’lib qolmoqda.