// TOM'S HARDWARE ITALIA — LINUX & OPEN SOURCE
F5 sotto attacco: due vulnerabilità critiche in NGINX
F5 ha rilasciato aggiornamenti fuori ciclo per correggere vulnerabilità critiche in NGINX e in più prodotti collegati. La mossa segnala un livello di urgenza superiore alla normale manutenzione, anche se l'azienda non indica sfruttamento attivo al momento della pubblicazione. Gli amministratori devono verificare rapidamente versioni e configurazioni, soprattutto negli ambienti esposti a Internet.
Le due falle principali sono tracciate come CVE-2026-42530 e CVE-2026-42055. La prima riguarda il modulo HTTP/3, mentre la seconda interessa moduli proxy e gRPC in specifiche configurazioni. In entrambi i casi, l'attacco può portare a crash del worker NGINX e denial of service; in condizioni particolari può aprire anche scenari di esecuzione di codice.
Il dettaglio più importante è che non tutte le installazioni sono uguali. Le condizioni di rischio dipendono da moduli abilitati, direttive non predefinite e protezioni del sistema, come ASLR. Questo non rende il problema trascurabile: NGINX è spesso un componente critico davanti ad applicazioni, API, gateway e servizi interni pubblicati verso l'esterno.
F5 ha indicato mitigazioni per chi non può installare subito gli aggiornamenti. Per CVE-2026-42530 la misura temporanea è disabilitare HTTP/3, rimuovendo il parametro quic dalle direttive di ascolto. Per CVE-2026-42055 vengono suggerite modifiche a direttive come ignore_invalid_headers e large_client_header_buffers, così da ridurre la condizione sfruttabile.
La patch riguarda NGINX Open Source, NGINX Plus, NGINX Gateway Fabric e NGINX Instance Manager. F5 ha corretto anche due falle ad alta severità in Gateway Fabric, sfruttabili da utenti autenticati per iniettare direttive di configurazione arbitrarie. Nei cluster moderni, dove proxy e ingress controller cambiano spesso configurazione, anche le falle autenticate meritano attenzione.
Il contesto storico pesa: vulnerabilità in prodotti F5 e componenti perimetrali sono state usate in passato da gruppi criminali e attori statali per entrare nelle reti, mappare server interni o sottrarre documenti. Per questo il ciclo corretto non si ferma alla patch: serve controllare log, configurazioni anomale, crash ripetuti dei worker e modifiche inattese ai file di configurazione.