BIG-IP Güvenlik Açığı Uzaktan Kod Yürütülmesine İzin Veriyor - Dünyadan Güncel Teknoloji Haberleri

BIG-IP Güvenlik Açığı Uzaktan Kod Yürütülmesine İzin Veriyor - Dünyadan Güncel Teknoloji Haberleri
5-ENG’de düzeltildi)
  • 15 0 2-ENG’de düzeltildi)
  • Azaltıcı önlem olarak F5, BIG-IP 14 1

    “Bu güvenlik açığı, yönetim bağlantı noktası ve/veya kendi IP adresleri aracılığıyla BIG-IP sistemine ağ erişimi olan, kimliği doğrulanmamış bir saldırganın rastgele sistem komutlarını yürütmesine izin verebilir 0


    27 Ekim 2023Haber odasıAğ Güvenliği / Güvenlik Açığı

    F5, müşterileri BIG-IP’yi etkileyen, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine neden olabilecek kritik bir güvenlik açığı konusunda uyardı 1 1

    Yapılandırma yardımcı programı bileşeninden kaynaklanan soruna CVE tanımlayıcısı atandı CVE-2023-46747ve maksimum 10 üzerinden 9,8 CVSS puanına sahiptir 1 44 0 “‘Ön uç’ kimlik doğrulamasının işlendiğini varsayan ‘arka uç’ hizmetine istek göndermek bazı ilginç davranışlara yol açabilir 0 (17 75 0 – 16 Şirket, “Bu komut dosyası 14 1 0 1 10 1 2-ENG’de düzeltildi)

  • 14 ”



    siber-2

    6-ENG’de düzeltildi)
  • 13 0 10 (15 1 10 3 0 ve üzeri sürüm kullanıcıları için bir kabuk komut dosyasını da kullanıma sunmuştur 5 (14 4-ENG’de düzeltildi)
  • 16 0 – 14 2 1 0 5 1 + Hotfix-BIGIP-16 10 CVE-2022-26377“

    Praetorian ayrıca kullanıcıların İnternet üzerinden Trafik Yönetimi Kullanıcı Arayüzüne (TMUI) erişimini kısıtlamalarını da tavsiye ediyor 0 – 15 5

    Araştırmacılar, “Görünüşte düşük etkili bir istek kaçakçılığı hatası, iki farklı hizmet kimlik doğrulama sorumluluklarını birbirine devrettiğinde ciddi bir sorun haline gelebilir” dedi 1 1 1 1 1 + Hotfix-BIGIP-13 1 1 5 20 6 + Hotfix-BIGIP-14 ”

    BIG-IP’nin aşağıdaki sürümlerinin saldırıya açık olduğu tespit edildi:

    • 17 4 (16 1 ” F5 söz konusu Perşembe günü yayınlanan bir tavsiye niteliğinde 0 4 1 CVE-2023-46747’nin, CVE-2020-5902 ve CVE-2022-1388’den sonra TMUI’de ortaya çıkarılan üçüncü kimlik doğrulamasız uzaktan kod yürütme hatası olduğunu belirtmekte fayda var “Veri düzlemine maruz kalma yok; bu yalnızca bir kontrol düzlemi sorunudur 5 (13 2 + Hotfix-BIGIP-15

      Siber güvenlik şirketi, teknik rapor kendi başına, CVE-2023-46747’yi, hedef sistemde kök olarak rastgele komutlar yürüterek F5 sisteminin tamamen tehlikeye girmesine yol açabilecek bir kimlik doğrulama atlama sorunu olarak tanımladı ve bunun “yakından ilişkili olduğunu” belirtti 5 4 1 3 + Hotfix-BIGIP-17 1 1 1 1 1

      Kullanıcılara sunulan diğer geçici çözümler aşağıdadır:

      Praetorian’dan Michael Weber ve Thomas Hendrickson, 4 Ekim 2023’te güvenlik açığını keşfedip rapor ettiler 50 0 – 13 6 0’dan önceki herhangi bir BIG-IP sürümünde kullanılmamalıdır, aksi takdirde Yapılandırma yardımcı programının başlatılmasını engelleyecektir” diye uyardı