F5 يحذر من ثغرة أمنية جديدة في تنفيذ التعليمات البرمجية عن بُعد BIG-IP


أصدرت شركة F5 لأمن السحابة وشبكة توصيل التطبيقات ( ADN )، يوم الأربعاء تصحيحات لاحتواء 43 خطأً تغطي منتجاتها.

من بين 43 مشكلة، تم تصنيف أحدها على أنه حرج ، و 17 مشكلة تم تصنيفها على أنها عالية ، و 24 مشكلة متوسطة ، وواحدة تم تصنيفها على أنها منخفضة الخطورة.

من بين الثغرات الأمنية الرئيسية هي CVE-2022-1388 ، والتي تحمل درجة CVSS تبلغ 9.8 من 10 كحد أقصى وتنبع من عدم التحقق من المصادقة، مما قد يسمح للمهاجمين بالسيطرة على النظام المتأثر.

قال F5 في تقرير استشاري: "قد تسمح هذه الثغرة الأمنية لمهاجم غير مصدق لديه وصول للشبكة إلى نظام BIG-IP من خلال منفذ الإدارة و / أو عناوين IP الذاتية لتنفيذ أوامر نظام تعسفية أو إنشاء ملفات أو حذفها أو تعطيل الخدمات".

تؤثر الثغرة الأمنية ، التي قالت الشركة أنه تم اكتشافها داخليًا ، على منتجات BIG-IP بالإصدارات التالية -

16.1.0 - 16.1.2

15.1.0 - 15.1.5

14.1.0 - 14.1.4

13.1.0 - 13.1.4

12.1.0 - 12.1.6

11.6.1 - 11.6.5

تم تقديم تصحيحات لعيب تجاوز مصادقة iControl REST في الإصدارات 17.0.0 و 16.1.2.2 و 15.1.5.1 و 14.1.4.6 و 13.1.5.

 منتجات F5 الأخرى مثل BIG-IQ Centralized Management و F5OS-A و F5OS-C و Traffix SDC ليست عرضة لـ CVE-2022-1388.

عرض F5 أيضًا حلولاً مؤقتة حتى يمكن تطبيق الإصلاحات -

  • قم بحظر الوصول إلى iControl REST من خلال عنوان IP الذاتي
  • منع الوصول إلى iControl REST من خلال واجهة الإدارة
  • قم بتعديل تكوين BIG-IP httpd

تتضمن الأخطاء البارزة الأخرى التي تم حلها كجزء من التحديث تلك التي قد تسمح للمهاجم المصادق عليه بتجاوز قيود وضع الجهاز وتنفيذ كود JavaScript عشوائي في سياق المستخدم المسجل حاليًا.

مع انتشار أجهزة F5 على نطاق واسع في شبكات المؤسسات، من الضروري أن تتحرك المؤسسات بسرعة لتطبيق التصحيحات لمنع الجهات الفاعلة في التهديد من استغلال متجه الهجوم للوصول الأولي.

تأتي الإصلاحات الأمنية في الوقت الذي أضافت فيه وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) خمسة عيوب جديدة إلى دليلها المعروف لنقاط الضعف المستغلة استنادًا إلى دليل على الاستغلال النشط.

CVE-2021-1789 - ثغرة أمنية تتعلق بالارتباك من نوع منتجات Apple

CVE-2019-8506 - ثغرة أمنية تتعلق بالارتباك من نوع منتجات Apple

CVE-2014-4113 - ثغرة أمنية في تصعيد امتياز Microsoft Win32k

CVE-2015-10322 - ثغرة أمنية في استخدام Microsoft Internet Explorer

CVE-2014-0160 - ثغرة أمنية في الكشف عن معلومات OpenSSL



from موضوع جديد لك https://ift.tt/p7SKQ9Y