Underc0de - La Casa de los Informáticos

F5 ha publicado actualizaciones de seguridad urgentes para corregir dos vulnerabilidades críticas que afectan a NGINX Open Source y múltiples productos relacionados. Los fallos, identificados como CVE-2026-42530 y CVE-2026-42055, podrían permitir a atacantes remotos no autenticados ejecutar código arbitrario en sistemas vulnerables bajo determinadas condiciones de configuración.

La divulgación de estas vulnerabilidades ha generado preocupación en la comunidad de ciberseguridad debido a la amplia adopción de NGINX en infraestructuras empresariales, entornos cloud, aplicaciones web, API, plataformas de contenedores y servicios críticos de Internet. Además, el anuncio llega apenas semanas después de que otra vulnerabilidad crítica conocida como "NGINX Rift" fuera explotada activamente poco tiempo después de hacerse pública.

NGINX bajo la lupa: nuevas vulnerabilidades críticas amenazan servidores empresariales

NGINX es uno de los servidores web y proxies inversos más utilizados en el mundo. Millones de organizaciones dependen de esta tecnología para gestionar tráfico web, balancear cargas, proteger aplicaciones y administrar infraestructuras modernas basadas en microservicios.

Debido a su enorme presencia en Internet, cualquier vulnerabilidad crítica en NGINX representa una superficie de ataque significativa para actores maliciosos, grupos de ransomware, ciberdelincuentes y amenazas patrocinadas por estados.

Las dos vulnerabilidades recientemente corregidas presentan una puntuación CVSS v4 de 9,2 sobre 10, lo que las sitúa dentro de la categoría de máxima gravedad.

CVE-2026-42530: vulnerabilidad use-after-free en HTTP/3 y QUIC

La primera vulnerabilidad, registrada como CVE-2026-42530, afecta al módulo ngx_http_v3_module utilizado por NGINX para implementar HTTP/3 sobre QUIC.

El problema se origina por un error de tipo "use-after-free", una categoría de vulnerabilidad que ocurre cuando una aplicación continúa utilizando memoria previamente liberada.

Según F5, un atacante remoto no autenticado podría aprovechar esta falla mediante una sesión HTTP/3 especialmente manipulada para reabrir un flujo de codificadores QPACK.

Bajo determinadas circunstancias, el fallo puede derivar en:

• Corrupción de memoria.
• Denegación de servicio.
• Ejecución remota de código (RCE).
• Compromiso completo del servidor.

El riesgo aumenta significativamente en sistemas donde la tecnología ASLR (Address Space Layout Randomization) se encuentra deshabilitada o cuando un atacante logra evadir dicha protección.

Productos afectados por CVE-2026-42530

Las versiones vulnerables incluyen:

• NGINX Open Source 1.31.0 a 1.31.1.
• NGINX Gateway Fabric 2.0.0 a 2.6.3.
• NGINX Gateway Fabric 1.3.0 a 1.6.2.
• NGINX Instance Manager 2.17.0 a 2.22.0.
• NGINX Ingress Controller 5.0.0 a 5.5.0.
• NGINX Ingress Controller 4.0.0 a 4.0.1.
• NGINX Ingress Controller 3.5.0 a 3.7.2.

La vulnerabilidad fue corregida principalmente en NGINX Open Source 1.31.2 y NGINX Gateway Fabric 2.6.4.

CVE-2026-42055: desbordamiento de búfer que permite ejecución remota de código

La segunda vulnerabilidad crítica, identificada como CVE-2026-42055, corresponde a un desbordamiento de búfer basado en heap que afecta a los módulos:

• ngx_http_proxy_v2_module
• ngx_http_grpc_module

Esta vulnerabilidad puede ser explotada cuando se cumplen simultáneamente varias condiciones específicas de configuración.

Entre ellas destacan:

• Uso de proxy_http_version configurado en HTTP/2.
• Uso de grpc_pass para tráfico gRPC.
• Configuración ignore_invalid_headers deshabilitada.
• Tamaño de large_client_header_buffers superior a 2 MB.

Cuando estas condiciones están presentes, un atacante remoto no autenticado podría enviar solicitudes especialmente diseñadas para provocar corrupción de memoria y potencialmente ejecutar código arbitrario.

Al igual que en la vulnerabilidad anterior, el impacto es especialmente grave cuando ASLR está desactivado o puede ser burlado.

Productos afectados por CVE-2026-42055

La lista de productos vulnerables es considerablemente más amplia debido a la integración de NGINX en diversas soluciones empresariales de F5.

Entre los productos afectados destacan:

• NGINX Plus 37.0.0 a 37.0.1.
• NGINX Plus R33 a R36.
• NGINX Open Source 1.31.1.
• NGINX Open Source 1.30.0 a 1.30.2.
• NGINX Instance Manager 2.17.0 a 2.22.0.
• F5 WAF para NGINX 5.9.0 a 5.13.1.
• NGINX App Protect WAF 4.x y 5.x.
• F5 DoS para NGINX.
• NGINX App Protect DoS.
• NGINX Gateway Fabric.
• NGINX Ingress Controller.

Las correcciones ya se encuentran disponibles mediante las versiones actualizadas distribuidas por F5.

Medidas de mitigación recomendadas por F5

Aunque la instalación de los parches oficiales es la medida más importante, F5 también publicó recomendaciones temporales para reducir el riesgo de explotación.

Mitigación para CVE-2026-42530

La compañía recomienda desactivar HTTP/3 cuando no sea estrictamente necesario.

Al eliminar el uso del módulo vulnerable asociado a QUIC y HTTP/3, se reduce significativamente la superficie de ataque.

Mitigación para CVE-2026-42055

Los administradores pueden implementar varias medidas preventivas:

• Eliminar la configuración ignore_invalid_headers off.
• Habilitar la validación estricta de encabezados HTTP.
• Reducir el valor de large_client_header_buffers por debajo de 2 MB.
• Revisar configuraciones HTTP/2 y gRPC expuestas a Internet.

Estas acciones pueden disminuir el riesgo mientras se planifica la actualización completa de los sistemas afectados.

El antecedente de NGINX Rift aumenta la preocupación

Aunque F5 no ha confirmado actividad de explotación activa relacionada con CVE-2026-42530 o CVE-2026-42055, el contexto actual obliga a las organizaciones a actuar con rapidez.

El mes pasado, una vulnerabilidad crítica distinta identificada como CVE-2026-42945 y conocida como "NGINX Rift" comenzó a ser explotada activamente pocos días después de su divulgación pública.

Este patrón demuestra que los ciberdelincuentes monitorizan constantemente los avisos de seguridad relacionados con NGINX y desarrollan rápidamente herramientas de explotación para aprovechar sistemas sin parchear.

Las vulnerabilidades que afectan servidores web, proxies inversos y controladores de ingreso suelen convertirse en objetivos prioritarios para campañas de ransomware, ataques contra infraestructuras críticas y compromisos de entornos cloud.

Impacto para las organizaciones

La explotación exitosa de cualquiera de estas vulnerabilidades podría tener consecuencias graves para las organizaciones afectadas.

Entre los riesgos potenciales se encuentran:

• Ejecución remota de código.
• Toma de control del servidor.
• Robo de datos corporativos.
• Movimiento lateral dentro de la red.
• Despliegue de ransomware.
• Interrupción de servicios críticos.
• Compromiso de aplicaciones empresariales.
• Acceso a entornos cloud y contenedores.

Debido a que NGINX suele actuar como punto de entrada para aplicaciones corporativas, una vulnerabilidad explotada con éxito podría facilitar el acceso a sistemas internos altamente sensibles.

En fin...

Las vulnerabilidades CVE-2026-42530 y CVE-2026-42055 representan una amenaza crítica para organizaciones que utilizan NGINX Open Source, NGINX Plus y múltiples soluciones de seguridad y gestión desarrolladas por F5. Su potencial para permitir ejecución remota de código sin autenticación convierte estos fallos en un objetivo atractivo para atacantes que buscan comprometer infraestructuras empresariales expuestas a Internet.

Ante el creciente historial de explotación rápida de vulnerabilidades en NGINX, las organizaciones deben priorizar la aplicación inmediata de los parches disponibles, revisar sus configuraciones de HTTP/3, HTTP/2 y gRPC, así como implementar las medidas de mitigación recomendadas por F5 para reducir la superficie de ataque y evitar posibles compromisos de seguridad.

Fuente: https://thehackernews.com/