F5 Patches Critical Vulnerabilities in BIG-IP, NGINX, and Related Products
2026/02/06 CyberSecurityNews — 2026年2月4日に F5 は、February 2026 Quarterly Security Notification を公開し、複数の Medium〜Low レベルの脆弱性と、BIG-IP/NGINX/コンテナ・サービスに影響するセキュリティ露出について情報を提供した。これらの問題は、Denial-of-Service (DoS) リスクやコンフィグ上の弱点に起因するものであり、Web Application Firewall (WAF) や Kubernetes ingress などの、高トラフィック環境の可用性が阻害される可能性がある。
現時点では、実環境での悪用は確認されていないが、インターネット公開環境では迅速にパッチを適用し、DoS チェーンや不正アクセスのリスクを軽減することが推奨される。
F5 はファースト・パーティ問題について CVSS v3.1/v4.0 スコアを採用しており、攻撃ベクター/必要権限/影響度を重視している。DevCentral ではライブ解説動画も公開されており、その詳細は F5 Knowledge Base へのリンクから確認できる。
Medium レベルの DoS リスク
以下の 3 件の脆弱性は、Meduim レベルの DoS 脅威をもたらし、最大で CVSS v4.0:8.2 のスコアが付与されている。一連の脆弱性を悪用するリモート攻撃者が、サービス過負荷攻撃を引き起こす可能性がある。
| Article (CVE) | CVSS v3.1 / v4.0 | Affected Products | Affected Versions | Fixes Introduced In |
|---|---|---|---|---|
| K000158072: BIG-IP Advanced WAF/ASM (CVE-2026-22548) | 5.9 / 8.2 | BIG-IP Advanced WAF/ASM | 17.1.0 – 17.1.2 | 17.1.3 |
| K000159824: NGINX (CVE-2026-1642) | 5.9 / 8.2 | NGINX Plus (R32-R36 P1), Open Source (1.3.0-1.29.4), Ingress Controller (5.3.0-5.3.2; 4.0.0-4.0.1; 3.4.0-3.7.1), Gateway Fabric (2.0.0-2.4.0; 1.2.0-1.6.2), Instance Manager (2.15.1-2.21.0) | R36 P2, R35 P1, R32 P4; 1.29.5, 1.28.2; None; None; None | |
| K000157960: BIG-IP CIS (CVE-2026-22549) | 4.9 / 6.9 | BIG-IP Container Ingress Services (Kubernetes/OpenShift) | 2.0.0-2.20.1; 1.0.0-1.14.0 | 2.20.2; 2.20.1 (Helm 0.0.363) |
影響評価
脆弱性 CVE-2026-1642 は、NGINX エコシステム全体に広範な影響を与えるものだ。細工されたリクエストにより、network-adjacent な DoS を引き起こす可能性がある。
WAF/ASM および CIS の脆弱性により、F5 のコンテナ化サービスが標的とされることで、ハイブリッド・クラウド環境でのサービス停止のリスクが懸念される。
Low レベルの問題
以下の問題は、ローカルまたは隣接環境からの攻撃に限定され、影響度は比較的低い。
| Article (CVE) | CVSS v3.1 / v4.0 | Affected Products | Affected Versions | Fixes Introduced In |
|---|---|---|---|---|
| K000158931: BIG-IP Edge Client (CVE-2026-20730) | 3.3 / 2.0 | BIG-IP APM (21.0.0; 17.5.0-17.5.1; etc.); APM Clients | 17.1.3.13; 7.2.6.2 | 17.1.3.13, 7.2.6.2 |
| K000156644: BIG-IP Config Utility (CVE-2026-20732) | 3.1 / 2.3 | BIG-IP (all modules) | 17.5.1.4; 17.1.3.1 | 17.5.1.4 17.1.3.1 |
注記:Edge Client の修正には、アップグレード後に Component Update を有効化する必要がある。Config Utility の問題は、ローカル権限昇格を許容する。
セキュリティ露出
| Article | Affected Products | Affected Versions | Fixes Introduced In |
|---|---|---|---|
| K000156643: BIG-IP SMTP Config | BIG-IP (all modules) | 21.0.0; 17.5.0-17.5.1; etc. | 21.0.0.1; 17.5.1.4; 17.1.3.1 |
上記の露出は、SMTP のミスコンフィグにより、リレー悪用が発生し得るものだ。
対応指針
NGINX を多用する環境では、Medium レベルの脆弱性への対応を、最優先で行うべきである。EoTS 前の影響バージョンをスキャンし、iHealth または CIS 向け Helm を用いて修正を適用する。
本番環境への影響を避けるために、ステージング環境での事前の検証を行う必要がある。Medium/Low/Exposure に関する情報を継続的に監視すべきである。
F5 による CVSS v4.0 への移行より、精緻なリスク評価が可能になった。詳細は K000140363 を参照のこと。
F5 製品群 (BIG-IP/NGINX/CIS など) のソフトウェアにおける一連の問題の原因は、大量の通信や特殊な形式のリクエストを、適切に処理できないという不備にあります。具体的には、NGINX や WAF 製品が、悪意を持って細工された通信データを受け取った際に、システムの処理能力を使い果たしたサービスが、停止してしまうという問題が見つかりました。これにより、本来は正常な通信をさばくはずのロード・バランサーやファイアウォールが反応しなくなり、Web サイトやアプリにアクセスできなくなる、サービス拒否 (DoS) 状態に陥るリスクが生じています。ご利用のチームは、ご注意ください。よろしければ、F5 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.