概要

2026年2月6日、F5は四半期セキュリティ通知を公開し、同社の製品エコシステム全体にわたる複数のセキュリティ脆弱性に対処する緊急修正を発表しました。これらの脆弱性には、CVSS v4.0スコアで最大8.2と評価されるものも含まれており、企業環境に高リスクをもたらすとされています。特に、BIG-IP Advanced WAF、NGINX Plus、およびBIG-IP Container Ingress Servicesに影響があるため、セキュリティチームは直ちにこれらのコンポーネントへのパッチ適用を優先するよう勧告されています。

技術的分析と影響を受ける製品

今回のセキュリティ修正は、主に以下の3つの主要なCVEに焦点を当てています。

• BIG-IP Advanced WAFおよびASM (CVE-2026-22548): CVSS v4.0スコア8.2の高リスク脆弱性です。バージョン17.1.0から17.1.2が影響を受け、攻撃者がセキュリティ制御を回避したり、サービスを妨害したりする可能性があります。修正はバージョン17.1.3で導入されています。
• NGINXエコシステムの脆弱性 (CVE-2026-1642): NGINX Open Source、NGINX Plus、およびNGINX Ingress Controllerを含む広範なNGINXスイートに影響を与える、CVSS v4.0スコア8.2の高リスク脆弱性です。影響を受けるバージョンは以下の通りです。
  • NGINX Open Source: 1.3.0 ～ 1.29.4
  • NGINX Plus: R32 ～ R36 P1
  • NGINX Ingress Controller: 5.3.0 ～ 5.3.2

  NGINXがネットワークのエッジでリバースプロキシやロードバランサーとして展開されることが多いため、パッチが適用されていないインスタンスは重大な攻撃対象となる可能性があります。

• Container Ingress Services (CVE-2026-22549): KubernetesまたはOpenShift環境でBIG-IP Container Ingress Servicesを利用している場合に影響があります。CVSS v4.0スコア6.9の中程度の脆弱性で、バージョン2.0.0から2.20.1が影響を受けます。修正はバージョン2.20.2で利用可能です。

その他、低リスクの脆弱性としてBIG-IP Edge Client (Win) (CVE-2026-20730)とBIG-IP Config Utility (CVE-2026-20732)も報告されています。

SMTP設定の構成リスク

F5は、BIG-IP SMTP設定（K000156643）に関するセキュリティ露出についても言及しています。これはソフトウェアのバグではなく、不正なメールリレーや情報漏洩を許す可能性のある設定上のリスクです。管理者は、特にバージョン17.xブランチのBIG-IPモジュールにおけるSMTP設定を確認し、バージョン17.5.1.4または21.0.0.1で導入された設定強化を適用する必要があります。

推奨される緩和戦略

BIG-IPまたはNGINX製品を使用している組織は、以下の緩和戦略を実行することが強く推奨されます。

• 資産の棚卸し: BIG-IP WAF、NGINX Plus/Open Source、Container Ingress Servicesのすべてのインスタンスを特定します。
• バージョンの確認: 現在のインストールを上記の影響を受けるバージョンと比較します。
• パッチの適用: 関連する修正を適用するために、緊急の変更期間をスケジュールします。
• 設定強化: 開示された露出を軽減するために、BIG-IPアプライアンスのSMTP設定を確認します。

これらの脆弱性は、アプリケーショントラフィックの重要なエントリーポイントとなるF5製品のセキュリティに直接影響を与えるため、迅速な対応が求められます。

元記事: https://gbhackers.com/f5-releases-urgent-security-fixes-for-critical-vulnerabilities/