Компания F5 исправила множественные уязвимости в BIG-IP и BIG-IQ
Ошибки затронули несколько версий продуктов и не коснулись пользовательских данных
Компания F5 Networks выпустила исправления уязвимостей в своей системе безопасности BIG-IP, включая ошибку, которая может позволить удаленному злоумышленнику получить полный контроль над целевым устройством.
Компания исправила всего 21 уязвимость , многие из которых представляют собой уязвимости высокого уровня опасности, которые могут дать киберпреступнику определенный уровень контроля над устройством или привести к нарушению трафика. Ошибки не влияют на облачные службы F5.
Наиболее полезной для злоумышленника уязвимостью является CVE-2022-35728 , связанная с тем, как блоки BIG-IP обрабатывают REST-токены iControl, которые используются для аутентификации локальных и удаленных пользователей.
Удаленный неавторизованный злоумышленник может повторно использовать REST-токен аутентифицированного пользователя iControl, чтобы получить доступ через порт управления и собственные IP-адреса для выполнения произвольных команд, создания или удаления файлов, а также отключения служб. По словам F5, ошибка не затрагивает данные клиентов, поэтому конфиденциальные данные пользователей не могут быть скомпрометированы.
Уязвимость CVE-2022-35728 затрагивает версии 13.x-17.x BIG-IP, а также некоторые версии BIG-IP SPK и BIG-IQ. Для организаций, которые не могут сразу установить исправления, существует обходной путь для смягчения влияния недостатка .
F5 также исправила уязвимость iControl REST CVE-2022-35243 , которая затрагивает нераскрытую конечную точку. Эта уязвимость содержится в версии BIG-IP 13.x-17.x.
«В режиме устройства аутентифицированный пользователь, которому назначена роль администратора, может обойти ограничения режима устройства. Эта проблема содержится в системе управления и не затрагивает данные клиентов», - заявила F5.
Согласно бюллетеню, к этой уязвимости применяется та же стратегия смягчения . Режим устройства обеспечивается специальной лицензией и может быть включен или отключен для отдельных гостевых экземпляров Virtual Clustered Multiprocessing (vCMP).
Большинство других исправленных уязвимостей связаны с отказом в обслуживании (DoS), снижением производительности или переполнениемм памяти.