BIG-IP Güvenlik Açığı Uzaktan Kod Yürütülmesine İzin Veriyor - Dünyadan Güncel Teknoloji Haberleri

BIG-IP Güvenlik Açığı Uzaktan Kod Yürütülmesine İzin Veriyor - Dünyadan Güncel Teknoloji Haberleri
5 0 1 3

Yapılandırma yardımcı programı bileşeninden kaynaklanan soruna CVE tanımlayıcısı atandı CVE-2023-46747ve maksimum 10 üzerinden 9,8 CVSS puanına sahiptir 6 1 1 5 (14 ”

BIG-IP’nin aşağıdaki sürümlerinin saldırıya açık olduğu tespit edildi:

  • 17 1 2-ENG’de düzeltildi)

Azaltıcı önlem olarak F5, BIG-IP 14 10 Şirket, “Bu komut dosyası 14 10 ” F5 söz konusu Perşembe günü yayınlanan bir tavsiye niteliğinde 1 1 4 (16 75 0 – 15

Kullanıcılara sunulan diğer geçici çözümler aşağıdadır:

Praetorian’dan Michael Weber ve Thomas Hendrickson, 4 Ekim 2023’te güvenlik açığını keşfedip rapor ettiler 0 0 1 + Hotfix-BIGIP-13 5 ”



siber-2

CVE-2022-26377“

Praetorian ayrıca kullanıcıların İnternet üzerinden Trafik Yönetimi Kullanıcı Arayüzüne (TMUI) erişimini kısıtlamalarını da tavsiye ediyor 4

“Bu güvenlik açığı, yönetim bağlantı noktası ve/veya kendi IP adresleri aracılığıyla BIG-IP sistemine ağ erişimi olan, kimliği doğrulanmamış bir saldırganın rastgele sistem komutlarını yürütmesine izin verebilir 1 3 + Hotfix-BIGIP-17 “Veri düzlemine maruz kalma yok; bu yalnızca bir kontrol düzlemi sorunudur 1 0 0 – 14 1 1 5

Siber güvenlik şirketi, teknik rapor kendi başına, CVE-2023-46747’yi, hedef sistemde kök olarak rastgele komutlar yürüterek F5 sisteminin tamamen tehlikeye girmesine yol açabilecek bir kimlik doğrulama atlama sorunu olarak tanımladı ve bunun “yakından ilişkili olduğunu” belirtti 4-ENG’de düzeltildi)

  • 16 20 1 1 + Hotfix-BIGIP-16 1 44 0’dan önceki herhangi bir BIG-IP sürümünde kullanılmamalıdır, aksi takdirde Yapılandırma yardımcı programının başlatılmasını engelleyecektir” diye uyardı 2 + Hotfix-BIGIP-15 6-ENG’de düzeltildi)
  • 13 5 2 “‘Ön uç’ kimlik doğrulamasının işlendiğini varsayan ‘arka uç’ hizmetine istek göndermek bazı ilginç davranışlara yol açabilir 10 1

    Araştırmacılar, “Görünüşte düşük etkili bir istek kaçakçılığı hatası, iki farklı hizmet kimlik doğrulama sorumluluklarını birbirine devrettiğinde ciddi bir sorun haline gelebilir” dedi 1 0 – 13 CVE-2023-46747’nin, CVE-2020-5902 ve CVE-2022-1388’den sonra TMUI’de ortaya çıkarılan üçüncü kimlik doğrulamasız uzaktan kod yürütme hatası olduğunu belirtmekte fayda var 0 (17 1 0 – 16 1 0 ve üzeri sürüm kullanıcıları için bir kabuk komut dosyasını da kullanıma sunmuştur 1 0 1 1 10 (15 1 6 + Hotfix-BIGIP-14


    27 Ekim 2023Haber odasıAğ Güvenliği / Güvenlik Açığı

    F5, müşterileri BIG-IP’yi etkileyen, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine neden olabilecek kritik bir güvenlik açığı konusunda uyardı 0 5 (13 1 50 0 2-ENG’de düzeltildi)

  • 14 1 1 4 5-ENG’de düzeltildi)
  • 15