Firma zajmująca się cyberbezpieczeństwem F5 wydała ostrzeżenie dotyczące siedmiu luk w swoim pakiecie produktów, z których cztery sklasyfikowano jako krytyczne. Błędy wpływają na wszystkie implementacje F5 BIG-IP i BIG-IQ i mogą zostać wykorzystane do zdalnego wykonania kodu (RCE), odmowy usługi (DoS) i ataków przejęcia urządzenia. Błędy są tak poważne, że amerykańska Agencja ds. Cyberprzestrzeni i Infrastruktury (CISA) również wydała zalecenie, w którym zwraca się do firm o „zapoznanie się z zawiadomieniem dotyczącym F5 i jak najszybsze zainstalowanie zaktualizowanego oprogramowania”. Zgodnie z zaleceniem F5 dostępne są już łaty dla wszystkich siedmiu luk.
Luki w zabezpieczeniach F5
Najpoważniejsza z luk F5, CVE-2021-22987, otrzymała ocenę ważności 9,9/10 zgodnie ze standardem Common Vulnerability Rating Standard (CVSS). Błąd umożliwia użytkownikom mającym dostęp sieciowy do narzędzia konfiguracyjnego (znanego również jako interfejs użytkownika do zarządzania ruchem) „wykonywanie dowolnych poleceń systemowych, tworzenie lub usuwanie plików albo wyłączanie usług”. Z kolei CVE-22021-22986 należy do interfejsu REST iControl i stwarza możliwości dla tego samego rodzaju ataków, nadając mu ocenę ważności 9,8. Jednak obie wady wymagają dostępu w celu uzyskania dostępu do płaszczyzny kontroli, co zmusiłoby osobę atakującą do posiadania lub kradzieży danych logowania. Ostatnie dwa krytyczne błędy, CVE-2021-22991 i CVE-2021-22992, to luki w zabezpieczeniach związane z przepełnieniem bufora, które otwierają drzwi do ataków DoS i, w niektórych sytuacjach, do zdalnego wykonania kodu. Poza tymi czterema krytycznymi lukami firma opublikowała także szczegółowe informacje na temat jednej luki o średniej wadze i dwóch usterek o wysokiej wadze, wraz z przeprosinami dla klientów, których to dotyczy. „Te luki zostały odkryte w wyniku regularnych i ciągłych wewnętrznych testów bezpieczeństwa naszych rozwiązań” – stwierdził F5 w poście na blogu. „Ponieważ rozumiemy, jak ważne są BIG-IP i BIG-IQ dla naszych klientów, gdy tylko te luki zostaną wykryte, natychmiast rozpoczęliśmy pracę nad poprawkami i możliwie najszybciej wydaliśmy powiadomienia o tytule.” „Zaufanie, jakie pokładasz w firmie F5 w zakresie zarządzania bezpieczeństwem i dostarczaniem najważniejszych zasobów, czyli aplikacji, nie jest czymś, co możemy lekceważyć. Rozumiemy, że usunięcie luk w zabezpieczeniach może mieć wpływ na Twoją firmę. "