اخبار امنیت و شبکه

باگ F5 می تواند منجر به تصرف کامل سیستم شود!

14
شهریور

بدترین 13 اشکال برطرف شده توسط به روزرسانی های ماه آگوست می تواند منجر به سازش کامل سیستم برای کاربران در بخش های حساس شود که محصولات را در حالت Appliance اجرا می کنند.

شرکت تحویل برنامه و شبکه F5 عنوان هایی برای رفع اشکالات منتشر کرد ، از جمله مواردی که می تواند منجر به کنترل کامل سیستم شود و از این رو برای مشتریانی که BIG-IP را در حالت Appliance اجرا می کنند به ” critical” افزایش می یابد. مهاجمان می تواند محدودیت های Appliance Mode را دور بزند.

F5-سازنده تجهیزات شبکه ای سازمانی که در جایگاه مهمی مورد استفاده است-در به روزرسانی های امنیتی خود نزدیک به 30 آسیب پذیری را برای چندین دستگاه منتشر کرد.

مهمترین دسته به عنوان CVE-2021-23031 ردیابی می شود و روی ماژول های BIG-IP Advanced WAF (Web Application Firewall) و مدیر امنیت برنامه (ASM)-به ویژه ، رابط کاربری مدیریت ترافیک (TMUI) تأثیر می گذارد.

F5 می گوید وقتی از این آسیب پذیری سوء استفاده می شود ، ” مهاجم با دسترسی به ابزار پیکربندی می تواند دستورات دلخواه سیستم را اجرا کند ، پرونده ها را ایجاد یا حذف کند و یا خدمات را غیرفعال کند” ، که به طور بالقوه منجر به “سازش کامل سیستم” می شود.

F5 تعدادی از محصولات را که حاوی کد آسیب دیده هستند اما آسیب پذیر نیستند ، ذکر می کند ، با توجه به اینکه مهاجمان نمی توانند از کد در تنظیمات پیش فرض ، استاندارد یا توصیه شده استفاده کنند. F5 خاطرنشان کرد که تعداد محدودی از مشتریان از آن در حالت – یعنی حالت Appliance – استفاده می کنند که نمره شدت آسیب پذیری CVSSv3 را به 9.9 (critical) می رساند.

 

بدون کاهش قابل اجرا

F5 گفت که هیچ گونه کاهش قابل قبولی وجود ندارد که به کاربران اجازه دسترسی به ابزار پیکربندی را نیز بدهید ، با توجه به اینکه این حمله توسط کاربران قانونی قابل لغو است. تنها راه کاهش این است که دسترسی کاربرانی که کاملاً مورد اعتماد نیستند را حذف کنید.

مشتریانی که نمی توانند یک نسخه ثابت را بلافاصله نصب کنند ، می توانند از اقدامات موقت زیر استفاده کنند ، که دسترسی به ابزار پیکربندی را فقط برای شبکه ها یا دستگاه های مورد اعتماد محدود می کند و در نتیجه سطح حمله را محدود می کند:

  • دسترسی به ابزار پیکربندی را از طریق آدرس های IP خود مسدود کنید
  • دسترسی به ابزار پیکربندی را از طریق رابط مدیریت مسدود کنید

 

مایکل هاو ، نایب رئیس در ارائه دهنده اتوماسیون شبکه Gluware ، به Threatpost گفت که آسیب پذیری های شناخته شده برای پاسخگویی سریع آنها چالش برانگیز است: به هر حال ، خدمه عملیات شبکه زیر سلاح هستند تا شبکه را بسیار در دسترس ، ایمن و ارائه دهند.

 

دوازده اشکال دیگر

علاوه بر نقص مهم CVE-2021-23031 ، دوازده اشکال امنیتی شدید که در انتشار پچ این ماه ذکر شده و در جدول زیر فهرست شده اند دارای نمرات خطر بین 7.2 تا 7.5 هستند. این نقص ها شامل اجرای فرمان از راه دور (RCE) ، اسکریپت نویسی بین سایت (XSS) و جعل درخواست ، و همچنین مجوز ناکافی و انکار سرویس (DOS) است.

نیمی از آنها روی همه ماژول ها ، پنج مورد روی WAF و ASM و یکی روی ماژول DNS تأثیر می گذارد.

CVE / Bug ID Severity CVSS score Affected products Affected versions Fixes introduced in
CVE-2021-23025 High 7.2 BIG-IP (all modules) 15.0.0 – 15.1.0
14.1.0 – 14.1.3
13.1.0 – 13.1.3
12.1.0 – 12.1.6
11.6.1 – 11.6.5		 16.0.0
15.1.0.5
14.1.3.1
13.1.3.5
CVE-2021-23026 High 7.5 BIG-IP (all modules) 16.0.0 – 16.0.1
15.1.0 – 15.1.2
14.1.0 – 14.1.4
13.1.0 – 13.1.4
12.1.0 – 12.1.6
11.6.1 – 11.6.5		 16.1.0
16.0.1.2
15.1.3
14.1.4.2
13.1.4.1
BIG-IQ 8.0.0 – 8.1.0
7.0.0 – 7.1.0
6.0.0 – 6.1.0		 None
CVE-2021-23027 High 7.5 BIG-IP (all modules) 16.0.0 – 16.0.1
15.1.0 – 15.1.2
14.1.0 – 14.1.4		 16.1.0
16.0.1.2
15.1.3.1
14.1.4.3
CVE-2021-23028 High 7.5 BIG-IP (Advanced WAF, ASM) 16.0.0 – 16.0.1
15.1.0 – 15.1.3
14.1.0 – 14.1.4
13.1.0 – 13.1.3		 16.1.0
16.0.1.2
15.1.3.1
14.1.4.2
13.1.4
CVE-2021-23029 High 7.5 BIG-IP (Advanced WAF, ASM) 16.0.0 – 16.0.1 16.1.0
16.0.1.2
CVE-2021-23030 High 7.5 BIG-IP (Advanced WAF, ASM) 16.0.0 – 16.0.1
15.1.0 – 15.1.3
14.1.0 – 14.1.4
13.1.0 – 13.1.4
12.1.0 – 12.1.6		 16.1.0
16.0.1.2
15.1.3.1
14.1.4.3
13.1.4.1
CVE-2021-23031 High

Critical – Appliance mode only

 8.8

9.9

 BIG-IP (Advanced WAF, ASM) 16.0.0 – 16.0.1
15.1.0 – 15.1.2
14.1.0 – 14.1.4
13.1.0 – 13.1.3
12.1.0 – 12.1.5
11.6.1 – 11.6.5		 16.1.0
16.0.1.2
15.1.3
14.1.4.1
13.1.4
12.1.6
11.6.5.3
CVE-2021-23032 High 7.5 BIG-IP (DNS) 16.0.0 – 16.0.1
15.1.0 – 15.1.3
14.1.0 – 14.1.4
13.1.0 – 13.1.4
12.1.0 – 12.1.6		 16.1.0
15.1.3.1
14.1.4.4
CVE-2021-23033 High 7.5 BIG-IP (Advanced WAF, ASM) 16.0.0 – 16.0.1
15.1.0 – 15.1.3
14.1.0 – 14.1.4
13.1.0 – 13.1.4
12.1.0 – 12.1.6		 16.1.0
15.1.3.1
14.1.4.3
13.1.4.1
CVE-2021-23034 High 7.5 BIG-IP (all modules) 16.0.0 – 16.0.1
15.1.0 – 15.1.3		 16.1.0
15.1.3.1
CVE-2021-23035 High 7.5 BIG-IP (all modules) 14.1.0 – 14.1.4 14.1.4.4
CVE-2021-23036 High 7.5 BIG-IP (Advanced WAF, ASM, DataSafe) 16.0.0 – 16.0.1 16.1.0
16.0.1.2
CVE-2021-23037 High 7.5 BIG-IP (all modules) 16.0.0 – 16.1.0
15.1.0 – 15.1.3
14.1.0 – 14.1.4
13.1.0 – 13.1.4
12.1.0 – 12.1.6
11.6.1 – 11.6.5		 None

مشاوره امنیتی CISA

آژانس امنیت سایبری و زیرساخت ها (CISA) با صدور یک توصیه امنیتی کاربران و مدیران را تشویق کرد تا توصیه های امنیتی F5 را مرور کرده و نرم افزار را به روز کنند یا در اسرع وقت اقدامات را اعمال کنند.

مطمئناً در مورد تجهیزات F5 ، تأخیر نکنید توصیه خوبی است ، زیرا شبکه های سازمانی این شرکت را می توان در برخی از بزرگترین شرکت های فناوری جهان از جمله فیس بوک ، مایکروسافت و اوراکل یافت. همچنین در سالن های مجموعه ای از 500 شرکت Fortune ، از جمله برخی از بزرگترین موسسات مالی جهان و ISP ها یافت می شود.

 

F5 انتخاب اولیه برای آفات

تمام این وسایل نیز توسط مهاجمان جدا می شوند. مورد: CVE 2020-5902 ، یک آسیب پذیری مهم در دستگاه های شبکه کنترلر تحویل پیشرفته BIG-IP شبکه های F5 که تا ژوئیه 2020 ، توسط مهاجمان برای از بین بردن اعتبار ، راه اندازی بدافزار و موارد دیگر ، اخیراً در CISA معرفی شده است. لیست 30 باگ برتر که به طور معمول در سال 2020 و امسال مورد سوء استفاده قرار گرفته است.

جاناتان چوا ، مشاور امنیت برنامه در ارائه دهنده امنیت برنامه nVisium ، خاطرنشان کرد که F5 Big IP به دلیل ماهیت آسیب پذیر و خارجی محصول مورد هدف محققان امنیتی و دشمنان قرار گرفته است. وی به Threatpost در Todayday گفت: “چندین سرویس برنامه F5 را می توان در خارج از کشور میزبانی کرد و به هر کاربر اینترنت اجازه می دهد سعی کند به این سرویس متصل شود.” “به دلیل سهولت دسترسی و میزان آسیب پذیری های عمومی مرتبط با برنامه های F5 ، این سرویس به هدف اصلی دشمنان برای نفوذ به شبکه شرکت از طریق محیط خارجی تبدیل می شود.”

وی به عنوان مثال به رابط کاربری مدیریت ترافیک F5 (TMUI) اشاره کرد که به طور فعال مورد بهره برداری قرار می گیرد. وی خاطرنشان کرد: این سرویس اغلب در محیط خارجی یک شرکت در دسترس است و شامل یک آسیب پذیری مهم RCE است. چوآ در ایمیلی گفت: “در نتیجه ، اگر از سرویس سوء استفاده شود ، چنین سرویسی می تواند مهاجمان خارجی را در شبکه داخلی یک شرکت پایه اولیه قرار دهد.”

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *