کمپانی F5 که یک ارائهکنندهی تجهیزات شبکه و امنیت سازمان است، برای بیش از دوازده آسیبپذیری امنیتی، Patchهایی را منتشر کرده است که روی چندین نسخه از دستگاههای BIG-IP و BIG-IQ تأثیر میگذارد که میتوانند به مهاجم اجازه دهند اقدامات مخرب مختلفی را انجام دهند، از جمله دسترسی به فایلهای دلخواه، بالا بردن سطح دسترسی و اجرای کد JavaScript.
از بین بیست و نه Bug که به آنها پرداخته شد، ۱۳ مورد آسیبهای خطرناک هستند، ۱۵ مورد متوسط و یک مورد کمخطر است.
مهمترین این آسیبپذیریها CVE-2021-23031 است که امتیاز CVSS آن ۸.۸ است؛ یک آسیبپذیری که روی BIG-IP Advanced Web Application Firewall و BIG-IP Application Security Manager تأثیر میگذارد و به یک کاربر احراز هویت شده اجازه میدهد که سطح دسترسی را بالا ببرد.
کمپانی F5 در راهنمای خود گفت: «وقتی که این آسیبپذیری اکسپلویت شود، یک مهاجم احراز هویت شده با دسترسی به ابزار پیکربندی میتواند دستورات دلخواه سیستم را اجرا کرده، فایلهایی را ایجاد یا حذف کند و یا سرویسهایی را غیرفعال نماید. ممکن است این آسیبپذیری منجر به نقض امنیتی کامل سیستم شود.»
باید توجه کرد که برای مشتریانی که در Appliance Mode با دستگاه کار میکنند که محدودیتهای فنی بیشتری را در بخشهای حساس اضافه میکند، شدت حیاتی بودن همین آسیبپذیری ۹.۹ از ۱۰ است. این شرکت گفت: «از آنجاییکه این حمله توسط کاربران قانونی و احراز هویتشده اجرا میشود، هیچ راه حل کاربردی وجود ندارد که به کاربران دسترسی لازم را به ابزار پیکربندی (Configuration) بدهد. تنها راه حل این است که دسترسی برای کاربرانی که کاملاً مورد اعتماد نیستند، قطع شود.»
آسیبپذیریهای بزرگ دیگر که توسط F5 برطرف شدند در ادامه فهرست میشوند:
- CVE-2021-23025 (امتیاز CVSS: 7.2) – آسیبپذیری اجرای کد از راه دور بهصورت احراز هویتشده در ابزار پیکربندی BIG-IP.
- CVE-2021-23026 (امتیاز CVSS: 7.5) – آسیبپذیری جعل درخواست بینسایتی یا CSRF در iControl SOAP
- CVE-2021-23027 و CVE-2021-23037 (امتیاز CVSS: 7.5) – آسیبپذیریهای مبتنی بر TMUI DOM و Cross-Site Scripting Reflected یا XSS.
- CVE-2021-23028 (امتیاز CVSS: 7.5) – آسیبپذیری BIG-IP Advanced WAF و ASM.
- CVE-2021-23029 (امتیاز CVSS: 7.5) – آسیبپذیری Advanced WAF و ASM TMUI.
- CVE-2021-23030 و CVE-2021-23033 (امتیاز CVSS: 7.5) – آسیبپذیری BIG-IP Advanced WAF و ASM Websocket.
- CVE-2021-23032 (امتیاز CVSS: 7.5) – آسیبپذیری BIG-IP DNS
- CVE-2021-23034، CVE-2021-23035 و CVE-2021-23036 (امتیاز CVSS: 7.5) -آسیبپذیریهای Traffic Management Microkernel.
F5 همچنین چندین نقص را Patch کرده است، از آسیبپذیری پیمایش دایرکتوری و SQL injection گرفته تا آسیبپذیری Open Redirect و جعل درخواست بینسایتی و همچین یک نقص در دیتابیس MySQL که منجر میشود به مصرف فضای Storage بیشتری توسط دیتابیس نسبت به آنچه در زمان فعال بودن ویژگیهای حفاظتی Brute-Force فایروال انتظار میرود.
منبع:
https://thehackernews.com/2021/08/f5-releases-critical-security-patches.html