متابعات-ميكسي نيوز
F5 تصدر تحديثًا أمنيًا ….أصدرت PENTERPRISE Security و Network Appliance Pendor F5 تصحيحات لأكثر من اثنان عشرين نقاط الضعف الأمنية تؤثر على إصدارات متعددة من أجهزة Big-IP و Big-IQ التي يمكن أن تسمح للمهاجم بأداء مجموعة واسعة من الإجراءات الضارة ، بما في ذلك الوصول إلى الملفات التعسفية ، والامتيازات المتصاعدة ، وتنفيذ رمز JavaScript.
من بين 29 الأخطاء التي تم تناولها ، 13 عيوب عالية الشهرة ، 15 متوسطة ، ويتم تصنيف واحد منخفض في شدة.
الرئيسي بينهم CVE-2021-23031 (CVSS SCORE: 8.8) ، وهو ثغرة أمنية تؤثر على جدار حماية تطبيق الويب المتقدم BIG-IP ومدير أمان تطبيق IP Big-IP يسمح للمستخدم المصادق بإجراء تصعيد امتياز.
وقالت F5 في استشاريها “عندما يتم استغلال هذه الثغرة الأمنية ، يمكن للمهاجم المصادق الذي يتمتع بالوصول إلى الأداة المساعدة للتكوين تنفيذ أوامر النظام التعسفي ، وإنشاء أو حذف الملفات ، و/أو تعطيل الخدمات. قد يؤدي هذا الضعف إلى حل وسط كامل للنظام”.
تجدر الإشارة إلى ذلك للعملاء الذين يقومون بتشغيل الجهاز في وضع الأجهزة، الذي يطبق قيودًا تقنية إضافية في القطاعات الحساسة ، يأتي نفس الضعف مع تصنيف حاسم قدره 9.9 من أصل 10. “نظرًا لأن هذا الهجوم يتم إجراؤه من قبل المستخدمين المشروع والمصادق ، لا يوجد أي تخفيف قابل للتطبيق يتيح للمستخدمين أيضًا الوصول إلى فائدة التكوين. إن التخفيف الوحيد هو إزالة الوصول للمستخدمين الذين لا يثقون تمامًا” ، قالت الشركة.
يتم سرد نقاط الضعف الرئيسية الأخرى التي تم حلها بواسطة F5 أدناه –
- CVE-2021-23025 (نقاط CVSS: 7.2) – تعرض تنفيذ الأوامر عن بُعد مصادقة في الأداة المساعدة لتكوين IP Big -IP
- CVE-2021-23026 (CVSS SCORE: 7.5) – قابلية التزوير عبر الطلب (CSRF) في صابون الأيقونات
- CVE-2021-23027 و CVE-2021-23037 (CVSS SCORE: 7.5)-TMUI DOM وانعكاس من نقاط الضعف (XSS)
- CVE-2011-23028 (CVSS SCORE: 7.5) – WAF -IP BIG -IP WAF و ASM
- CVE-2021-23029 (CVSS SCORE: 7.5) – Big -IP Advanced WAF و ASM TMUI
- CVE-2021-23030 و CVE-2021-23033 (نقاط CVSS: 7.5) – نقاط الضعف المتقدمة في WAF و ASM ASM
- CVE-2021-23032 (CVSS SCORE: 7.5) – Big -IP DNS BUSINABINATION
- CVE-2021-23034 ، CVE-2011-23035 ، و CVE-2021-23036 (CVSS SCORE: 7.5) – Microkernel Manager
بالإضافة إلى ذلك ، قامت F5 أيضًا بتصحيح عدد من العيوب التي تتراوح من ثغرة الأمن التي تتراوح بين الدليل وحقن SQL لفتح تعرضية إعادة التوجيه وتزوير طلب المواقع المتقاطعة ، بالإضافة إلى خلل في قاعدة بيانات MySQL التي تؤدي إلى استهلاك قاعدة البيانات مساحة تخزين أكثر من المتوقع عندما تكون ميزات حماية الشجاعة الوحشية للحالة الموسيقية.
نظرًا لأن أجهزة F5 غالبًا ما تصبح أهدافًا مثيرة لمحاولات الاستغلال النشطة من قبل الجهات الفاعلة للتهديدات ، فمن المستحسن بشدة أن يقوم المستخدمون والمسؤولون بتثبيت البرامج المحدثة أو تطبيق التخفيفات اللازمة في أقرب وقت ممكن.
