Security

Picu Kerusakan Memori, F5 Rilis Patch Darurat Tutup Celah Kritis RCE pada NGINX

1 hour ago
3 minutes read

Perusahaan keamanan siber terkemuka, F5, secara resmi merilis pembaruan keamanan darurat di luar jadwal rutin (out-of-band security updates) guna menambal rentetan kerentanan berbahaya pada server web NGINX. Pembaruan ini diprioritaskan untuk menutup dua celah keamanan berstatus kritis (critical-severity) yang berpotensi dimanfaatkan oleh peretas untuk mengeksekusi kode secara jarak jauh (Remote Code Execution – RCE).

Dua celah kritis tersebut menargetkan kelemahan pada modul pemrosesan protokol jaringan modern serta sistem delegasi proxy di dalam ekosistem NGINX.

Anatomi Celah Kritis: Manfaatkan Use-After-Free dan Buffer Overflow

Peretas jarak jauh yang tidak terautentikasi (unauthenticated remote attackers) dapat mengeksploitasi celah ini pada sistem NGINX yang menggunakan konfigurasi non-standar (non-default configurations) untuk memicu serangan kelumpuhan server (Denial of Service – DoS) maupun eksekusi kode berbahaya.

Berikut detail teknis dari dua kerentanan kritis tersebut:

  • CVE-2026-42530 (Modul HTTP/3): Kerentanan ini ditemukan pada komponen ngx_http_v3_module. Jika berhasil dieksploitasi, celah ini memicu kerusakan memori berupa use-after-free pada proses kerja (worker process) NGINX yang berujung pada lumpuhnya server atau restart paksa.
  • CVE-2026-42055 (Modul Proxy V2 & gRPC): Celah ini bersarang di dalam komponen ngx_http_proxy_v2_module dan ngx_http_grpc_module. Serangan pada komponen ini memicu luapan penyangga berbasis heap (heap-based buffer overflow).
[ Paket Data Modifikasi Peretas ] ──► Masuk ke Sistem NGINX (Tanpa Autentikasi)
                                                │
                                                ▼ (Injeksi Modul HTTP/3 / Proxy V2)
[ Kerusakan Struktur Memori    ] ──► Memicu Use-After-Free / Heap Buffer Overflow
                                                │
                                                ▼
[ Eksploitasi Pertahanan OS    ] ──► Bypass / Matikan ASLR (Address Space Layout Randomization)
                                                │
                                                ▼
[ Akses Kendali Jarak Jauh     ] ──► Eksekusi Kode Ilegal (RCE) / Restart Paksa Server (DoS)

F5 memperingatkan bahwa serangan RCE ini dapat terjadi pada sistem operasi yang mematikan fitur keamanan ASLR (Address Space Layout Randomization), atau ketika penyerang memiliki kemampuan teknis untuk melompati proteksi ASLR tersebut.

Lini produk perangkat lunak NGINX yang dipastikan terdampak dan wajib menerima patch meliputi NGINX Plus, NGINX Open Source, NGINX Gateway Fabric, serta NGINX Instance Manager.

Langkah Mitigasi Sementara Tanpa Patch

Bagi para administrator jaringan (sysadmins) yang belum bisa melakukan instalasi pembaruan keamanan dalam waktu dekat, F5 menyediakan metode mitigasi manual untuk meminimalkan risiko paparan serangan:

1. Mitigasi untuk Celah Kritis HTTP/3 (CVE-2026-42530)

Nonaktifkan dukungan protokol HTTP/3 secara menyeluruh pada server Anda dengan cara menghapus parameter quic dari seluruh baris direktif perintah listen di dalam berkas konfigurasi NGINX.

2. Mitigasi untuk Celah Kritis Proxy V2 & gRPC (CVE-2026-42055)

  • Hapus baris instruksi ignore_invalid_headers off dari dokumen konfigurasi.
  • Pangkas ukuran tampung data pada direktif large_client_header_buffers hingga berada di bawah ambang batas 2 Megabyte (MB).

Celah Berbahaya Lain pada NGINX Gateway Fabric

Selain dua celah kritis di atas, F5 juga menambal dua kerentanan berstatus tingkat keparahan tinggi (high-severity) yang dilacak sebagai CVE-2026-11311 dan CVE-2026-50107 pada komponen NGINX Gateway Fabric.

Berbeda dengan celah RCE, kerentanan ini membutuhkan proses autentikasi terlebih dahulu. Penyerang yang telah berhasil masuk ke dalam sistem (authenticated attackers) dapat memanfaatkan celah ini untuk menyuntikkan arahan konfigurasi NGINX secara sewenang-wenang (arbitrary configuration directives injection) guna memanipulasi lalu lintas data jaringan.

Sejarah Rantai Pasok F5 yang Kerap Jadi Incaran Peretas

Meskipun F5 menegaskan belum menemui adanya laporan eksploitasi aktif di alam liar (in the wild) untuk kasus NGINX kali ini, rekam jejak produk F5 menunjukkan bahwa produk mereka merupakan target utama bagi kelompok kriminal siber maupun peretas bersponsor negara (nation-state threat groups).

Catatan Intelijen Ancaman:

  • Sepanjang beberapa tahun terakhir, CISA (Badan Keamanan Siber AS) telah memasukkan 7 kerentanan F5 ke dalam katalog celah yang aktif dieksploitasi, di mana 4 di antaranya digunakan dalam serangan pemerasan komersial (ransomware).
  • Pada Oktober tahun lalu, F5 mengakui bahwa kelompok peretas yang didukung negara berhasil membobol jaringan internal mereka pada Agustus 2025 dan menggasak data rahasia berupa kode sumber (source code) serta daftar kerentanan yang belum dipublikasikan pada sistem perlindungan BIG-IP.

Mengingat NGINX menguasai pangsa pasar yang sangat masif—melayani lebih dari 23.000 pelanggan korporat global termasuk 80% dari perusahaan Fortune Global 500—para pengelola server diimbau untuk segera menjadwalkan proses pembaruan firmware ke versi NGINX paling mutakhir demi membentengi infrastruktur digital perusahaan dari risiko peretasan.

Sumber: F5 Product Development Security Advisory

Tags
1 hour ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button