هشدار F5 درباره آسیب‌پذیری بحرانی در دستگاه‌های BIG-IP

۱۸ اردیبهشت ۱۴۰۱

بر اساس گزارش‌های منتشر شده، شرکت فناوری F5 هشداری درباره یک آسیب‌پذیری بحرانی در دستگاه‌های BIG-IP منتشر کرده است که به مهاجمان با دسترسی شبکه، اجازه اجرای فرمان‌های دلخواه، فعال و غیرفعال کردن سرویس‌ها در BIG-IP را می‌دهد.

این آسیب‌پذیری بحرانی که با شناسه CVE-2022-1388 ثبت شده است، در صورت بهره‌برداری اجازه درست دست گرفتن کنترل گرفتن کامل سیستم را به مهاجم می‌دهد.

براساس توضیحات منتشر شده از سوی شرکت F5، این آسیب‌پذیری در مولفه iControl REST قرار داشته و به یک مهاجم اجازه می‌دهد تایید هویت iControl REST در BIG-IP را دور بزند.

به گفته این شرکت آسیب‌پذیری iControl REST روی نسخه ۱۶.۱.۰ تا ۱۶.۱.۲، نسخه ۱۵.۱.۰ تا ۱۵.۱.۵، نسخه ۱۴.۱.۰ تا ۱۴.۱.۴، نسخه ۱۳.۱.۰ تا ۱۳.۱.۴، نسخه ۱۲.۱.۰ تا ۱۲.۱.۶ و نسخه ۱۱.۶.۱ تا ۱۱.۶.۵ تاثیر می‌گذارد.

در حال حاضر شرکت F5 اصلاحیه‌هایی را برای نسخه‌های ۱۷.۰.۰، ۱۶.۱.۲.۲، ۱۵.۱.۵.۱، ۱۴.۱.۴.۶ و ۱۳.۱.۵ منتشر کرده است و گفته است که برای نسخه‌های ۱۱ و ۱۲ اصلاحیه‌ امنیتی منتشر نخواهد شد.

در همین راستا، به مدیران شبکه‌ها توصیه می‌شود هر چه سریع‌تر دستگاه‌های خود را اصلاح کرده یا اقدامات کاهش‌دهنده خطرات احتمالی را به‌کار گیرند. 

 

توضیحات بیشتر:

- F5 warns of critical BIG-IP RCE bug allowing device takeover