CVE-2026-32682: NGINX Gateway Fabric sårbarhed
En logget ind angriber kan lukke NGINX Gateway Fabric ned ved at sende en særligt udformet gRPC-konfiguration.
Hvad er det?
NGINX Gateway Fabric er et styringsprogram, der dirigerer netværkstrafik ind til dine applikationer. Sårbarheden findes i den del af programmet, der håndterer såkaldte GRPCRoutes — regler for, hvordan gRPC-trafik (en type kommunikation mellem servere) skal fordeles.
En angriber, der allerede har adgang til dit system og ret til at ændre GRPCRoute-konfigurationer, kan sende en ugyldig konfiguration, som får styringsprogrammets kontrolenhed (control plane) til at crashe og lukke ned. Fejlen skyldes manglende validering af input (CWE-129: ukorrekt validering af array-indeks).
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der:
- Bruger NGINX Gateway Fabric som netværks-gateway i deres infrastruktur
- Har aktiveret GRPCRoutes i konfigurationen
- Har brugere eller systemer med rettigheder til at oprette eller ændre GRPCRoute-ressourcer
Hvis din virksomhed ikke bruger NGINX Gateway Fabric, eller ikke anvender gRPC-routing, er du ikke berørt.
Hvad kan ske?
Udnyttelse af denne sårbarhed kan føre til følgende:
- Nedbrud af kontrolenheden: Hele NGINX Gateway Fabric-styringen crasher, hvilket betyder at netværkstrafikken ikke længere dirigeres korrekt.
- Tjenestenedbrud (Denial of Service): Dine applikationer og tjenester, der afhænger af gateway’en, vil holde op med at fungere for slutbrugere.
- Ingen datalækage: Sårbarheden giver ikke adgang til følsomme data (fortrolighed og integritet er ikke berørt).
Risikoen er primært driftsforstyrrelse — ikke datatyveri.
Hvor alvorligt er det?
Sårbarheden er vurderet til moderat (CVSS 6.5 ud af 10). Angrebet kræver, at angriberen allerede er logget ind og har specifikke rettigheder i dit system — det sænker alvorligheden markant. En ekstern angriber uden adgang kan ikke udnytte fejlen direkte.
Konsekvensen er udelukkende tilgængelighed: dine tjenester kan gå ned. Der er ingen risiko for, at angriberen kan læse eller ændre dine data. Det gør fejlen til et driftsproblem snarere end et databrudsproblem.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Find ud af, om du er berørt: Undersøg om din virksomhed bruger NGINX Gateway Fabric med GRPCRoutes aktiveret. Spørg din IT-ansvarlige eller leverandør.
- Opdater til en patchet version: Tjek om F5/NGINX har udgivet en opdateret version af NGINX Gateway Fabric, og opdater hurtigst muligt.
- Begræns adgangen til GRPCRoute-ressourcer: Sørg for, at kun betroede brugere og systemer har rettigheder til at oprette eller ændre GRPCRoute-konfigurationer.
- Overvåg for mistænkelig aktivitet: Hold øje med uventede nedbrud af din gateway-kontrolenhed og undersøg årsagen.
- Kontakt din IT-partner: Hvis du er usikker på din eksponering, beder du din IT-leverandør eller -konsulent gennemgå din konfiguration.
Opdater inden for 30 dage
Opdater NGINX Gateway Fabric til den seneste version, så snart en patch er tilgængelig. I mellemtiden bør du stramme adgangsstyringen (hvem der må oprette og ændre GRPCRoute-konfigurationer), så kun de absolut nødvendige brugere og systemer har denne rettighed. Eftersom angrebet kræver forudgående adgang, er stram adgangskontrol din vigtigste forsvarsmekanisme lige nu.
Tidslinje
Konkrete eksempler
Intern medarbejder med systemadgang
En medarbejder med adgang til virksomhedens Kubernetes-miljø (containerplatform) har rettigheder til at oprette GRPCRoute-konfigurationer. Medarbejderen — enten med ondsindede hensigter eller ved en fejl — sender en ugyldig konfiguration med et forkert backendRef-filter. Kontrolenheden i NGINX Gateway Fabric crasher, og al indgående trafik til virksomhedens applikationer stoppes, indtil en IT-administrator genstarter systemet.
Kompromitteret servicekonto
En angriber får adgang til en automatiseret servicekonto (f.eks. et CI/CD-deploy-system), der har tilladelse til at ændre netværkskonfigurationer. Angriberen bruger denne konto til at indsende en særligt udformet GRPCRoute-konfiguration, som crasher NGINX Gateway Fabric. Virksomhedens kundevendte tjenester går ned, og angriberen opnår et effektivt tjenestenedbrud uden at have brug for administratorrettigheder.
Fejlkonfiguration som utilsigtet trigger
En udvikler tester en ny gRPC-tjenestekonfiguration i produktionsmiljøet og sender ved en fejl en ugyldig backendRef-filterværdi. NGINX Gateway Fabric-kontrolplanen tolker den ugyldige værdi og crasher. Selvom dette ikke er et bevidst angreb, er resultatet det samme: driftsnedbrud for alle tjenester bag gateway’en, indtil systemet genstartes manuelt.
Ofte stillede spørgsmål
Kan en helt udefrakommende angriber udnytte denne sårbarhed?
Nej. Angriberen skal allerede have adgang til dit system og de rette rettigheder til at ændre GRPCRoute-konfigurationer. En tilfældig ekstern person på internettet kan ikke udnytte fejlen direkte.
Risikerer vi at miste data eller få data stjålet?
Nej. Sårbarheden påvirker kun tilgængelighed — altså om dine tjenester kører eller ej. Der er ingen risiko for, at angriberen kan læse, kopiere eller ændre dine data.
Hvad er NGINX Gateway Fabric, og bruger vi det?
NGINX Gateway Fabric er et program, der styrer, hvordan netværkstrafik fordeles til dine applikationer. Det er typisk brugt i større IT-opsætninger med containerbaserede miljøer (f.eks. Kubernetes). Spørg din IT-ansvarlige, om I bruger dette produkt.
Hvad sker der, hvis vi ikke reagerer?
Hvis en angriber med de nødvendige rettigheder udnytter fejlen, kan jeres gateway-styringsmodul crashe. Det betyder, at al trafik til jeres applikationer potentielt stoppes, indtil systemet genstartes. Det kan føre til driftsnedbrud og utilfredse kunder.
Er der en patch tilgængelig nu?
CVE’en blev offentliggjort den 17. juni 2026, og der er endnu ikke bekræftet en officiel patch. Hold øje med opdateringer fra F5/NGINX og opdater, så snart en ny version er tilgængelig. Tjek producentens officielle sikkerhedsbulletiner.
Hvad betyder det, at software 'End of Technical Support' ikke evalueres?
Det betyder, at versioner af NGINX Gateway Fabric, der ikke længere modtager support fra producenten, ikke er undersøgt for denne sårbarhed. Bruger I en sådan gammel version, anbefaler vi kraftigt at opgradere til en supporteret version hurtigst muligt.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
When NGINX Gateway Fabric is configured using GRPCRoutes, an authenticated, remote attacker with permission to create or modify GRPCRoute resources can cause the NGINX Gateway Fabric control plane to terminate by sending undisclosed GRPCRoute configurations containing backendRef filters.
Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
