Компания F5 Networks выпустила свой ежеквартальный бюллетень безопасности, в котором устраняет несколько уязвимостей в своей продуктовой экосистеме. Хотя внутренняя классификация F5 определяет основные проблемы как уязвимости средней степени серьезности, обновленная система оценки CVSS v4.0 присваивает некоторым из них высокий балл 8.2. Следовательно, эти уязвимости представляют существенный риск для корпоративных сред. Эксперты настоятельно рекомендуют командам безопасности немедленно расставить приоритеты для установки исправлений, поскольку затронутые компоненты часто служат критически важными точками входа для трафика приложений.
Детали уязвимостей
В центре внимания оказались три конкретные уязвимости, затрагивающие BIG-IP Advanced WAF, NGINX Plus и BIG-IP Container Ingress Services. Самая значительная проблема для аппаратных решений BIG-IP связана с системой Advanced Web Application Firewall (WAF) и менеджером безопасности приложений (Application Security Manager, ASM). Уязвимость, получившая идентификатор CVE-2026-22548 и оценку 8.2 по CVSS v4.0, потенциально позволяет злоумышленникам обходить средства защиты или нарушать работу сервисов. Она затрагивает версии с 17.1.0 по 17.1.2, а исправление включено в релиз 17.1.3.
Параллельно в экосистеме NGINX выявлена широко распространенная уязвимость CVE-2026-1642. Она также имеет высокий балл 8.2 и затрагивает NGINX Open Source, NGINX Plus и контроллер NGINX Ingress. Учитывая, что NGINX часто развертывается в качестве обратного прокси или балансировщика нагрузки на периметре сети, непропатченные инстансы формируют значительную поверхность для атаки. Также подвержены влиянию NGINX Gateway Fabric и NGINX Instance Manager, для которых требуются конкретные обновления в зависимости от модели развертывания.
Для сред, использующих Kubernetes или OpenShift, представляет интерес уязвимость в сервисе BIG-IP Container Ingress Services (CIS) под идентификатором CVE-2026-22549. Ее оценка по CVSS v4.0 составляет 6.9 баллов, что соответствует средней степени серьезности. Проблема существует в версиях с 2.0.0 по 2.20.1, а исправление доступно в версии 2.20.2. Помимо этого, в бюллетене упомянуты уязвимости низкой серьезности в BIG-IP Edge Client для Windows (CVE-2026-20730) и BIG-IP Configuration Utility (CVE-2026-20732), которые требуют внимания, но не являются критически срочными.
Отдельно F5 отметила проблему конфигурационной безопасности, связанную с настройкой SMTP в BIG-IP (K000156643). Речь не идет об ошибке в коде, однако существует риск неправильной конфигурации. Эта ошибка может привести к несанкционированной передаче почты или раскрытию информации. Администраторам следует проверить настройки SMTP в модулях BIG-IP, особенно в ветках версии 17.x, и применить меры по усилению безопасности, представленные в версиях 17.5.1.4 или 21.0.0.1.
Для эффективного устранения угроз организациям, использующим продукты F5 и NGINX, рекомендуется выполнить ряд действий. Во-первых, необходимо провести инвентаризацию активов, чтобы идентифицировать все экземпляры BIG-IP WAF, NGINX и Container Ingress Services. Затем следует сверить текущие версии установленного программного обеспечения со списком затронутых релизов, указанным в бюллетене. После этого нужно запланировать срочные работы по обслуживанию для применения соответствующих исправлений. В заключение, важно выполнить проверку и усиление конфигураций SMTP на устройствах BIG-IP для минимизации выявленного риска. Своевременное применение патчей остается ключевым методом защиты инфраструктуры от потенциальных эксплуатаций.
Ссылки
- https://my.f5.com/manage/s/article/K000159076
- https://www.cve.org/CVERecord?id=CVE-2026-22548
- https://www.cve.org/CVERecord?id=CVE-2026-1642
- https://www.cve.org/CVERecord?id=CVE-2026-22549
- https://www.cve.org/CVERecord?id=CVE-2026-20730
- https://www.cve.org/CVERecord?id=CVE-2026-20732
