کمیته رکن چهارم – شرکت F5 برای چند آسیبپذیری بحرانی در محصولات BIG-IP بهروزرسانیهایی را منتشر کرده است.
شرکت F5 برای چند آسیبپذیری بحرانی موجود در محصولات BIG-IP بهروزرسانیهایی را منتشر کرده است؛ لذا توصیه میشود هرچه سریعتر به نصب نسخههایی که آسیبپذیریهای مذکور در آنها برطرف شده است اقدام شود. این آسیبپذیریهای بحرانی در نسخههای ۱۱.۶.۵.۳، ۱۲.۱.۵.۳، ۱۳.۱.۳.۶، ۱۴.۱.۴، ۱۵.۱.۲.۱ و ۱۶.۰.۱.۱ محصول BIG-IP و در نسخههای ۸.۰.۰، ۷.۱.۰.۳ و ۷.۰.۰.۲ محصول BIG-IQ برطرف شده است.
راهکارهای موقت کاهش مخاطرات ناشی بهرهبرداری از این آسیبپذیریهای بحرانی برای هر آسیبپذیری (در صورت وجود) به شرح زیر است:
• آسیبپذیری CVE-۲۰۲۱-۲۲۹۹۲: برای کاهش مخاطرات بهرهبرداری از این آسیبپذیری میتوانید از iRule ارائه شده توسط F۵ در پیوند زیر برای سرورهای مجازی آسیبپذیر، استفاده کنید. این iRule پاسخ دریافتی از سرور را بررسی کرده و برای پاسخهای آسیبپذیر خطای ۵۰۲ برمیگرداند.
https://support.f۵.com/csp/article/K۵۲۵۱۰۵۱۱
• آسیبپذیری CVE-۲۰۲۱-۲۲۹۸۷: از آنجایی که بهرهبرداری از این آسیبپذیری فقط توسط کاربران احراز هویت شده و مجاز امکانپذیر است، به جز قطع دسترسی کاربران غیر قابل اعتماد به برنامهی پیکربندی، هیچ راهکار موقت مطمئنی برای کاهش مخاطرات این آسیبپذیری وجود ندارد. اطلاعات بیشتر در پیوند زیر موجود است:
https://support.f۵.com/csp/article/K۱۸۱۳۲۴۸۸
• آسیبپذیری CVE-۲۰۲۱-۲۲۹۸۶: محدودسازی iControl REST به شبکهها و تجهیزات قابل اعتماد. اطلاعات بیشتر در خصوص نحوهی مسدود کردن دسترسی به iControl REST در پیوند زیر موجود است:
https://support.f۵.com/csp/article/K۰۳۰۰۹۹۹۱
برای اطلاع از جزییات سایر راهکارهای موقت کاهشی این آسیبپذیری مانند تغییر پیکربندی صفحه ورود، حذف صفحات ورود و امنسازی وبسرور و شبکه به پیوند فوق مراجعه کنید.
مهمترین آسیبپذیریهای این بهروزرسانی، آسیبپذیریهای بحرانی CVE-۲۰۲۱-۲۲۹۸۷ و CVE-۲۰۲۱-۲۲۹۸۶ با شدت ۹.۹ و ۹.۸ است. آسیبپذیری CVE-۲۰۲۱-۲۲۹۸۶ برای مهاجم احراز هویت نشده که از طریق شبکه به رابط iControl REST دسترسی دارد، امکان اجرای دستورات دلخواه سیستمی، ایجاد یا حذف فایلها و غیرفعالسازی سرویسها را فراهم میکند. سیستمهای BIG-IP در حالت Appliance نیز آسیبپذیر هستند.
در جدول زیر اطلاعات مختصری از آسیبپذیریهای مهم این بهروزرسانی آورده شده است:
منبع : افتانا
