بر اساس گزارشهای منتشر شده، شرکت فناوری F5 هشداری درباره یک آسیبپذیری بحرانی در دستگاههای BIG-IP منتشر کرده است که به مهاجمان با دسترسی شبکه، اجازه اجرای فرمانهای دلخواه، فعال و غیرفعال کردن سرویسها در BIG-IP را میدهد.
این آسیبپذیری بحرانی که با شناسه CVE-2022-1388 ثبت شده است، در صورت بهرهبرداری اجازه درست دست گرفتن کنترل گرفتن کامل سیستم را به مهاجم میدهد.
براساس توضیحات منتشر شده از سوی شرکت F5، این آسیبپذیری در مولفه iControl REST قرار داشته و به یک مهاجم اجازه میدهد تایید هویت iControl REST در BIG-IP را دور بزند.
به گفته این شرکت آسیبپذیری iControl REST روی نسخه ۱۶.۱.۰ تا ۱۶.۱.۲، نسخه ۱۵.۱.۰ تا ۱۵.۱.۵، نسخه ۱۴.۱.۰ تا ۱۴.۱.۴، نسخه ۱۳.۱.۰ تا ۱۳.۱.۴، نسخه ۱۲.۱.۰ تا ۱۲.۱.۶ و نسخه ۱۱.۶.۱ تا ۱۱.۶.۵ تاثیر میگذارد.
در حال حاضر شرکت F5 اصلاحیههایی را برای نسخههای ۱۷.۰.۰، ۱۶.۱.۲.۲، ۱۵.۱.۵.۱، ۱۴.۱.۴.۶ و ۱۳.۱.۵ منتشر کرده است و گفته است که برای نسخههای ۱۱ و ۱۲ اصلاحیه امنیتی منتشر نخواهد شد.
در همین راستا، به مدیران شبکهها توصیه میشود هر چه سریعتر دستگاههای خود را اصلاح کرده یا اقدامات کاهشدهنده خطرات احتمالی را بهکار گیرند.
توضیحات بیشتر:
- F5 warns of critical BIG-IP RCE bug allowing device takeover