Big-IP Uygulama Hizmetleri Şirketi F5, bir diğerinden belirli koşullar altında kritik ciddiyete yükseltir.
Sorunlar, bu ayın birden fazla F5 cihaz için neredeyse 30 güvenlik açıkını ele alan güvenlik güncellemelerinin teslimatının bir parçasıdır.
F5 sabitlenen on üç yüksek ciddiyet kusurunun, biri, "özellikle hassas sektörlerde müşterilerin ihtiyaçlarını karşılamak için tasarlanan" bir yapılandırmada kritik hale gelir ve sistem uzlaşmasının tamamlanmasına neden olabilir.
Sorun şimdi CVE-2021-23031 olarak izlenir ve Big-IP Modülleri Gelişmiş WAF (Web Uygulama Güvenlik Duvarı) ve Uygulama Güvenlik Yöneticisi'ni (AMM), özellikle Trafik Yönetimi Kullanıcı Arabirimi'ni (TMUI) etkiler.
Normal olarak, tam sistem ödüngedilmesine yol açabilecek isteğe bağlı sistem komutlarını çalıştırmak için yapılandırma yardımcı programına erişimi olan kimliği doğrulanmış bir saldırgan tarafından kullanılabilen 8.8 şiddet puanına sahip bir ayrıcalık artışıdır.
Bazı teknik kısıtlamaları uygulayan Cihaz modunu kullanan müşteriler için, aynı güvenlik açığı 10 üzerinden 9.9 oranında kritik bir rating ile birlikte gelir.
F5'in CVE-2021-23031 için güvenlik danışmanlığı, neden iki ciddiyet derecesi olduğu hakkında birçok bilgi sağlamaz, ancak güncellenmiş sürümü kurmadıkça hatanın kritik varyantından etkilenen bir "sınırlı sayıda müşteri" olduğunu notlar. veya azaltma uygulayın.
Cihazların güncellenmesi mümkün olmadığı organizasyonlar için, F5, olası sömürüye karşı savunmanın tek yolunun, yalnızca tamamen güvenilir kullanıcılara yapılandırma yardımcı programına erişimi sınırlamaktır.
CVE-2021-23031, bu ayın bu aya değindiği düzine yüksek ciddiyet güvenliği hataları, 7.2 ile 7.5 arasında risk puanları ile birlikte gelir. Yarısı tüm modülleri etkiler, beş gelişmiş WAF ve ASM'yi etkiler ve biri DNS modülünü etkiler.
Yüksek
-
Kritik - Sadece Cihaz Modu
8.8
-
9.9
Kusurlar, kimliği doğrulanmış uzaktan kumanda yürütülmesinden, site scripting (XSS) ve sahteciliği istemek, yetersiz izin ve hizmet reddi.
Güvenlik düzeltmelerinin güvenlik açıklarının tam listesi daha az ciddi hatalar (orta ve düşük) içerir ve F5'in danışmanlığında mevcuttur.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), F5'in güvenlik danışmanlığı hakkında bir bildirim yayınladı, kullanıcıları ve yöneticileri şirketten bilgiyi gözden geçirmeye teşvik ediyor ve yazılım güncellemelerini yükleme veya gerekli azaltıcı uygulamaları uygulayabilir.
Synology: OpenSSL RCE güvenlik açığından etkilenen birden fazla ürün
Kaseya Yamaları UnitRends Sunucu Sıfır Günleri, Müşteri Mitigasyonlarını Sorunlar
Microsoft: Proxyshell Bugs "sömürülebilir," yaprısı sunucuları şimdi!
Ethereum, Şiddetli Zincir Bölünmüş Güvenlik Açığını Düzeltmek için GO DEV'leri Davranıyor
SteelSeries Hatası, bir cihaza takarak Windows 10 yönetici haklarını verir.
Kaynak: Bleeping Computer