Bulut güvenliği ve uygulama dağıtım ağı (ADN) sağlayıcı F5, Çarşamba günü ürünlerini kapsayan 43 hata içeren yamalar yayınladı.
arasında 43 konu ele alındıbiri Kritik, 17’si Yüksek, 24’ü Orta ve biri düşük olarak derecelendirilmiştir.
Kusurların başında CVE-2022-1388maksimum 10 üzerinden 9,8 CVSS puanı taşıyan ve kimlik doğrulama denetimi eksikliğinden kaynaklanan ve potansiyel olarak bir saldırganın etkilenen bir sistemin kontrolünü ele geçirmesine izin veren .
F5 bir danışma belgesinde, “Bu güvenlik açığı, yönetim bağlantı noktası ve/veya kendi IP adresleri aracılığıyla BIG-IP sistemine ağ erişimi olan kimliği doğrulanmamış bir saldırganın rastgele sistem komutları yürütmesine, dosya oluşturmasına veya silmesine veya hizmetleri devre dışı bırakmasına izin verebilir” dedi. “Veri düzlemine maruz kalma yok; bu yalnızca bir kontrol düzlemi sorunudur.”
Şirketin dahili olarak keşfedildiğini söylediği güvenlik açığı, aşağıdaki sürümlerle BIG-IP ürünlerini etkiliyor:
- 16.1.0 – 16.1.2
- 15.1.0 – 15.1.5
- 14.1.0 – 14.1.4
- 13.1.0 – 13.1.4
- 12.1.0 – 12.1.6
- 11.6.1 – 11.6.5
iControl REST kimlik doğrulama atlama hatası için yamalar 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 ve 13.1.5 sürümlerinde kullanıma sunulmuştur. BIG-IQ Merkezi Yönetim, F5OS-A, F5OS-C ve Traffix SDC gibi diğer F5 ürünleri, CVE-2022-1388’e karşı savunmasız değildir.
F5, düzeltmeler uygulanana kadar geçici çözümler de önerdi –
- Kendi kendine IP adresi aracılığıyla iControl REST erişimini engelleyin
- Yönetim arabirimi aracılığıyla iControl REST erişimini engelleyin
- BIG-IP httpd yapılandırmasını değiştirin
Güncellemenin bir parçası olarak çözülen diğer önemli hatalar arasında, kimliği doğrulanmış bir saldırganın Cihaz modu kısıtlamalarını atlamasına ve şu anda oturum açmış olan kullanıcı bağlamında rastgele JavaScript kodu yürütmesine izin verebilecek hatalar yer alıyor.
Kurumsal ağlarda yaygın olarak kullanılan F5 cihazlarıyla, kuruluşların tehdit aktörlerinin ilk erişim için saldırı vektörünü kullanmasını önlemek için yamaları uygulamak için hızlı hareket etmesi zorunludur.
Güvenlik düzeltmeleri, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) kendi sistemine beş yeni kusur eklemesiyle geldi. Bilinen Sömürülen Güvenlik Açıkları Kataloğu aktif sömürü kanıtlarına dayanarak –