Ошибки затронули несколько версий продуктов и не коснулись пользовательских данных
Компания F5 Networks выпустила исправления уязвимостей в своей системе безопасности BIG-IP, включая ошибку, которая может позволить удаленному злоумышленнику получить полный контроль над целевым устройством.
Компания исправила всего 21 уязвимость, многие из которых представляют собой уязвимости высокого уровня опасности, которые могут дать киберпреступнику определенный уровень контроля над устройством или привести к нарушению трафика. Ошибки не влияют на облачные службы F5.
Наиболее полезной для злоумышленника уязвимостью является CVE-2022-35728 , связанная с тем, как блоки BIG-IP обрабатывают REST-токены iControl, которые используются для аутентификации локальных и удаленных пользователей.
Удаленный неавторизованный злоумышленник может повторно использовать REST-токен аутентифицированного пользователя iControl, чтобы получить доступ через порт управления и собственные IP-адреса для выполнения произвольных команд, создания или удаления файлов, а также отключения служб. По словам F5, ошибка не затрагивает данные клиентов, поэтому конфиденциальные данные пользователей не могут быть скомпрометированы.
Уязвимость CVE-2022-35728 затрагивает версии 13.x-17.x BIG-IP, а также некоторые версии BIG-IP SPK и BIG-IQ. Для организаций, которые не могут сразу установить исправления, существует обходной путь для смягчения влияния недостатка .
F5 также исправила уязвимость iControl REST CVE-2022-35243 , которая затрагивает нераскрытую конечную точку. Эта уязвимость содержится в версии BIG-IP 13.x-17.x.
«В режиме устройства аутентифицированный пользователь, которому назначена роль администратора, может обойти ограничения режима устройства. Эта проблема содержится в системе управления и не затрагивает данные клиентов», - заявила F5.
Согласно бюллетеню, к этой уязвимости применяется та же стратегия смягчения . Режим устройства обеспечивается специальной лицензией и может быть включен или отключен для отдельных гостевых экземпляров Virtual Clustered Multiprocessing (vCMP).
Большинство других исправленных уязвимостей связаны с отказом в обслуживании (DoS), снижением производительности или переполнениемм памяти.
Сбалансированная диета для серого вещества