Atualizações fecham use-after-free no módulo HTTP/3 QUIC e estouro de heap em proxy HTTP/2 e gRPC, com CVSS v4 9.2 e exploração condicionada ao estado do ASLR
| Componente | NGINX Open Source: módulo ngx_http_v3_module (HTTP/3 QUIC/QPACK) e módulos ngx_http_proxy_v2_module e ngx_http_grpc_module para proxy HTTP/2 e gRPC |
| Vetor | Atacante remoto não autenticado envia sessão HTTP/3 especialmente construída para reabrir fluxo codificador QPACK, ou tráfego HTTP/2 malformado via proxy quando ignore_invalid_headers está desligado e large_client_header_buffers excede 2 MB |
| Impacto | Execução remota de código quando ASLR está desabilitado ou quando o atacante consegue contornar ASLR; F5 não reporta exploração ativa destes dois identificadores no momento da divulgação |
| Prioridade | Aplicar imediatamente os pacotes de segurança da F5; em ambientes com proxy HTTP/2/gRPC expostos, remover ignore_invalid_headers off ou reduzir large_client_header_buffers abaixo de 2 MB como medida paliativa para CVE-2026-42055 |
| Versões | CVE-2026-42530 (CVSS v4 9.2) e CVE-2026-42055 (CVSS v4 9.2); correções distribuídas pela F5 para NGINX Open Source |
| Mitigação | Atualização oficial da F5; workaround documentado para CVE-2026-42055: retirar diretiva ignore_invalid_headers off ou limitar large_client_header_buffers a menos de 2 MB |
A F5 publicou atualizações de segurança para duas falhas críticas no NGINX Open Source capazes de culminar em execução remota de código em instâncias expostas na borda de rede ou em camadas de proxy reverso. Os identificadores CVE-2026-42530 e CVE-2026-42055 recebem pontuação CVSS v4 de 9,2, indicando severidade máxima em cenários onde as pré-condições de configuração estão presentes e o ambiente facilita a materialização do impacto de memória em execução arbitrária.
O primeiro defeito é uma condição de use-after-free no módulo ngx_http_v3_module, acionável quando o servidor está configurado para servir tráfego HTTP/3 sobre QUIC. O segundo é um estouro de buffer baseado em heap nos módulos de proxy HTTP/2 e gRPC, dependente de combinação específica de diretivas de configuração. Em ambos os casos, a F5 enquadra a execução de código como alcançável por atacante remoto sem autenticação, porém condicionada à desativação de Address Space Layout Randomization ou à capacidade do adversário de contornar ASLR. A empresa não afirma exploração ativa destes dois CVEs no momento do anúncio, embora o histórico recente de produtos F5 — incluindo exploração rápida de CVE-2026-42945, conhecido como NGINX Rift, semanas após divulgação — reforce a urgência operacional para equipes que mantêm terminação TLS, balanceamento e proxy na infraestrutura crítica.
No CVE-2026-42530, a superfície de ataque reside na pilha HTTP/3 e no subsistema QPACK responsável por compactar cabeçalhos. Um adversário remoto pode manipular o ciclo de vida de fluxos dentro de uma sessão HTTP/3 especialmente construída para forçar a reabertura de um fluxo codificador QPACK. Essa sequência corrompe o gerenciamento de memória do worker NGINX, liberando estruturas ainda referenciadas e abrindo janela para corrupção controlável que, na ausência de ASLR efetivo ou diante de bypass conhecido, pode ser encadeada até execução de código no contexto do processo do servidor web. A exploração não exige credenciais, mas exige que o módulo HTTP/3 QUIC esteja habilitado e que o tráfego malicioso alcance o listener exposto.
O CVE-2026-42055 afeta a forma como o NGINX processa cabeçalhos HTTP/2 ao atuar como proxy. Quando administradores definem proxy_http_version para 2 ou utilizam grpc_pass para encaminhar tráfico gRPC, e simultaneamente mantêm ignore_invalid_headers desligado com large_client_header_buffers configurado acima de 2 MB, o parser aceita construções de cabeçalho que ultrapassam os limites internos de buffer em heap. O estouro resultante permite sobrescrever metadados adjacentes na região alocada dinamicamente, novamente com caminho plausível até execução remota de código quando ASLR não impede a construção confiável de cadeia de exploração. A dependência de três diretivas simultâneas reduz a universalidade do ataque, porém perfis com proxy HTTP/2 agressivo, gateways gRPC ou integrações legadas que desabilitam validação estrita de cabeçalhos representam alvos de alto valor por concentrarem tráfego interno e externo.
A exposição concentra-se em instâncias NGINX Open Source que terminam HTTP/3 QUIC na borda ou fazem proxy HTTP/2 e gRPC para microsserviços, APIs e backends internos. Ambientes cloud, Kubernetes ingress controllers baseados em NGINX, plataformas de API management e nós de CDN auto-hospedados herdam o risco quando executam builds vulneráveis com módulos correspondentes compilados e configurações permissivas.
A materialização do impacto permanece atrelada ao estado de proteções de memória do sistema operacional subjacente. Servidores com ASLR robusto e endurecimento adicional de heap mitigam, sem eliminar por completo, a probabilidade de exploração bem-sucedida, mas não substituem a correção. Times que não auditam arquivos de configuração versionados podem desconhecer combinações perigosas herdadas de templates antigos ou de tuning para clientes com cabeçalhos volumosos.
- Workers NGINX com módulo HTTP/3 QUIC ativo e listeners HTTP/3 acessíveis pela rede
- Instâncias com
proxy_http_version 2ougrpc_passencaminhando tráfego HTTP/2 - Configurações contendo
ignore_invalid_headers offjunto alarge_client_header_buffersmaior que 2 MB - Processos NGINX executando sem ASLR efetivo ou em imagens minimizadas sem randomização de endereços
A detecção proativa combina inventário de versão, análise estática de configuração e monitoramento de anomalias de protocolo na borda. Como a F5 não reporta exploração ativa destes CVEs, a telemetria deve priorizar confirmação de exposição e sinais genéricos de corrupção de memória em workers, em vez de assinaturas públicas de exploit específico.
Equipes de resposta devem correlacionar reinícios abruptos de workers, core dumps, falhas de segmentação e picos de latência em listeners HTTP/3 ou HTTP/2 com tráfego de origens externas que enviam sessões incomuns ou cabeçalhos de tamanho atípico. Em ambientes containerizados, métricas de OOMKill e reinício de pods NGINX após picos de requisições malformadas também merecem revisão.
- Varredura de inventário identificando builds NGINX Open Source anteriores aos pacotes corrigidos pela F5
- Revisão automatizada de
nginx.confe includes buscando HTTP/3 QUIC,ignore_invalid_headers offe buffers acima de 2 MB - Alertas de encerramento anormal de processos worker NGINX após tráfego HTTP/3 ou HTTP/2 de clientes não autenticados
- Correlação temporal entre publicação de advisories F5 e varreduras externas contra portas 443/UDP QUIC e 443/TCP HTTP/2
A resposta primária consiste em aplicar os pacotes de segurança publicados pela F5 para NGINX Open Source assim que disponíveis no canal de distribuição adotado pela organização, seguido de reinício controlado ou rolling restart em clusters para garantir carregamento dos binários corrigidos. Em paralelo, equipes devem mapear quais listeners expõem HTTP/3 e quais blocos de servidor utilizam proxy HTTP/2 ou gRPC com validação relaxada de cabeçalhos.
Para CVE-2026-42055, a F5 documenta mitigação paliativa até a atualização completa: remover a diretiva ignore_invalid_headers off ou reduzir o tamanho de large_client_header_buffers para abaixo de 2 MB, eliminando a combinação necessária ao estouro de heap. Após patch, validar em staging com tráfego HTTP/3 e HTTP/2 representativo, revisar logs de erro por regressões de clientes legítimos e considerar segmentação de rede limitando exposição direta de proxies internos à internet. Dado o precedente de exploração acelerada em falhas recentes do ecossistema NGINX, janelas de manutenção devem ser encurtadas e comunicadas a stakeholders de disponibilidade e segurança de aplicações.
- Instalar imediatamente as atualizações oficiais da F5 para NGINX Open Source em todos os nós de produção e homologação
- Aplicar workaround de CVE-2026-42055 removendo
ignore_invalid_headers offou ajustandolarge_client_header_buffersabaixo de 2 MB onde patch imediato não for possível - Auditar e versionar configurações NGINX eliminando combinações de proxy HTTP/2/gRPC com validação de cabeçalhos desabilitada
- Executar rolling restart documentado e verificar versão efetiva em runtime após deploy das correções
- Monitorar advisories F5 e feeds de inteligência para confirmação futura de exploração ativa destes identificadores
0 Comentários