فا

‫ اخبار

آسیب‌پذیری‌های بحرانی در محصولات F5

شرکت F5 برای چند #‫آسیب‌پذیری بحرانی موجود در محصولات BIG-IP به‌روزرسانی‌هایی را منتشر کرده است؛ لذا توصیه می‌شود هرچه سریع‌تر به نصب نسخه‌هایی که آسیب‌پذیری‌های مذکور در آنها برطرف شده است اقدام شود. این آسیب‌پذیری‌های بحرانی در نسخه‌های 11.6.5.3، 12.1.5.3، 13.1.3.6، 14.1.4، 15.1.2.1 و 16.0.1.1 محصول BIG-IP و در نسخه‌های 8.0.0، 7.1.0.3 و 7.0.0.2 محصول BIG-IQ برطرف شده است.
راهکارهای موقت کاهش مخاطرات ناشی بهره‌برداری از این آسیب‌پذیری‌های بحرانی برای هر آسیب‌پذیری (در صورت وجود) به شرح زیر است:
• آسیب‌پذیری CVE-2021-22992: برای کاهش مخاطرات بهره‌برداری از این آسیب‌پذیری می‌توانید از iRule ارائه شده توسط F5 در پیوند زیر برای سرورهای مجازی آسیب‌پذیر، استفاده کنید. این iRule پاسخ دریافتی از سرور را بررسی کرده و برای پاسخ‌های آسیب‌پذیر خطای 502 برمی‌گرداند.

https://support.f5.com/csp/article/K52510511

• آسیب‌پذیری CVE-2021-22987: از آنجایی که بهره‌برداری از این آسیب‌پذیری فقط توسط کاربران احراز هویت شده و مجاز امکان‌پذیر است، به جز قطع دسترسی کاربران غیر قابل اعتماد به برنامه‌ی پیکربندی، هیچ راهکار موقت مطمئنی برای کاهش مخاطرات این آسیب‌پذیری وجود ندارد. اطلاعات بیشتر در پیوند زیر موجود است:

https://support.f5.com/csp/article/K18132488

• آسیب‌پذیری CVE-2021-22986: محدودسازی iControl REST به شبکه‌ها و تجهیزات قابل اعتماد. اطلاعات بیشتر در خصوص نحوه‌ی مسدود کردن دسترسی به iControl REST در پیوند زیر موجود است:

https://support.f5.com/csp/article/K03009991

برای اطلاع از جزییات سایر راهکارهای موقت کاهشی این آسیب‌پذیری مانند تغییر پیکربندی صفحه ورود، حذف صفحات ورود و امن‌سازی وب‌سرور و شبکه به پیوند فوق مراجعه کنید.

جزییات آسیب‌پذیری‌ها

مهم‌ترین آسیب‌پذیری‌های این به‌روزرسانی، آسیب‌پذیری‌های بحرانی CVE-2021-22987 و CVE-2021-22986 با شدت 9.9 و 9.8 است. آسیب‌پذیری CVE-2021-22986 برای مهاجم احراز هویت نشده که از طریق شبکه به رابط iControl REST دسترسی دارد، امکان اجرای دستورات دلخواه سیستمی، ایجاد یا حذف فایل‌ها و غیرفعالسازی سرویس‌ها را فراهم می‌کند. سیستم‌های BIG-IP در حالت Appliance نیز آسیب‌پذیر هستند.
در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های مهم این به‌ر‌روزرسانی آورده شده است.


مرجع

https://support.f5.com/csp/article/K02566623


مشخصات خبر

 
تاریخ ایجاد: 25 اسفند 1399

امتیاز

امتیاز شما
تعداد امتیازها: 0