شرکت F5 برای چند آسیبپذیری بحرانی موجود در محصولات BIG-IP بهروزرسانیهایی را منتشر کرده است؛ لذا توصیه میشود هرچه سریعتر به نصب نسخههایی که آسیبپذیریهای مذکور در آنها برطرف شده است اقدام شود. این آسیبپذیریهای بحرانی در نسخههای 11.6.5.3، 12.1.5.3، 13.1.3.6، 14.1.4، 15.1.2.1 و 16.0.1.1 محصول BIG-IP و در نسخههای 8.0.0، 7.1.0.3 و 7.0.0.2 محصول BIG-IQ برطرف شده است.
راهکارهای موقت کاهش مخاطرات ناشی بهرهبرداری از این آسیبپذیریهای بحرانی برای هر آسیبپذیری (در صورت وجود) به شرح زیر است:
- آسیبپذیری CVE-2021-22992: برای کاهش مخاطرات بهرهبرداری از این آسیبپذیری میتوانید از iRule ارائه شده توسط F5 در پیوند زیر برای سرورهای مجازی آسیبپذیر، استفاده کنید. این iRule پاسخ دریافتی از سرور را بررسی کرده و برای پاسخهای آسیبپذیر خطای 502 برمیگرداند.
https://support.f5.com/csp/article/K52510511
- آسیبپذیری CVE-2021-22987: از آنجایی که بهرهبرداری از این آسیبپذیری فقط توسط کاربران احراز هویت شده و مجاز امکانپذیر است، به جز قطع دسترسی کاربران غیر قابل اعتماد به برنامهی پیکربندی، هیچ راهکار موقت مطمئنی برای کاهش مخاطرات این آسیبپذیری وجود ندارد. اطلاعات بیشتر در پیوند زیر موجود است:
https://support.f5.com/csp/article/K18132488
- آسیبپذیری CVE-2021-22986: محدودسازی iControl REST به شبکهها و تجهیزات قابل اعتماد. اطلاعات بیشتر در خصوص نحوهی مسدود کردن دسترسی به iControl REST در پیوند زیر موجود است:
https://support.f5.com/csp/article/K03009991
برای اطلاع از جزییات سایر راهکارهای موقت کاهشی این آسیبپذیری مانند تغییر پیکربندی صفحه ورود، حذف صفحات ورود و امنسازی وبسرور و شبکه به پیوند فوق مراجعه کنید.
جزییات آسیبپذیریها
مهمترین آسیبپذیریهای این بهروزرسانی، آسیبپذیریهای بحرانی CVE-2021-22987 و CVE-2021-22986 با شدت 9.9 و 9.8 است. آسیبپذیری CVE-2021-22986 برای مهاجم احراز هویت نشده که از طریق شبکه به رابط iControl REST دسترسی دارد، امکان اجرای دستورات دلخواه سیستمی، ایجاد یا حذف فایلها و غیرفعالسازی سرویسها را فراهم میکند. سیستمهای BIG-IP در حالت Appliance نیز آسیبپذیر هستند.
در جدول زیر اطلاعات مختصری از آسیبپذیریهای مهم این بهرروزرسانی آورده شده است.
منبع:
- 58