تعداد بازدید: 72

آسیب پذیری در BIG-IP

می ۲۰۲۲

آسیب پذیری کشف شده در BIG-IP به مهاجم اجازه می‌دهد تا دستورات سیستمی مورد نظرش را اجرا کند. در اکسپلویت این نقص فنی مهاجم باید به شبکه دسترسی داشته باشد و از طریق پورت مدیریت و یا self IP دستورات سیستمی مد نظرش را می‌تواند اجرا کند. سوءاستفاده از این آسیب پذیری منجر به انتشار اطلاعات نمی‌شود بلکه مهاجم می‌تواند کنترل را به دست گرفته و کارهایی از قبیل غیرفعال کردن سرویس‌ها، ساختن و یا پاک کردن فایل‌ها را انجام دهد. آسیب‌پذیری مذکور با شماره مرجع CVE-2022-1388 مشخص شده است و مهاجم با استفاده از آن قادر به دور زدن احراز هویت iControl REST خواهد بود. شرکت F5 شناسه ۱۰۳۳۸۳۷، ۱۰۵۱۵۶۱ و ۱۰۵۲۸۳۷ را به این نقص فنی اختصاص داده است. همچنین در دسته CWE-306: Missing Authentication for Critical Function آن را طبقه بندی کرده است.

Product	Branch	Versions known to be vulnerable¹	Fixes introduced in³	Severity	CVSSv3 score²	Vulnerable component or feature
BIG-IP (all modules)	۱۷٫x	None	۱۷٫۰٫۰	Critical	۹٫۸	iControl REST
	۱۶٫x	۱۶٫۱٫۰ – ۱۶٫۱٫۲	۱۶٫۱٫۲٫۲
	۱۵٫x	۱۵٫۱٫۰ – ۱۵٫۱٫۵	۱۵٫۱٫۵٫۱
	۱۴٫x	۱۴٫۱٫۰ – ۱۴٫۱٫۴	۱۴٫۱٫۴٫۶
	۱۳٫x	۱۳٫۱٫۰ – ۱۳٫۱٫۴	۱۳٫۱٫۵
	۱۲٫x	۱۲٫۱٫۰ – ۱۲٫۱٫۶	Will not fix
	۱۱٫x	۱۱٫۶٫۱ – ۱۱٫۶٫۵	Will not fix
BIG-IQ Centralized Management	۸٫x	None	Not applicable	Not vulnerable	None	None
BIG-IQ Centralized Management	۷٫x	None	Not applicable	Not vulnerable	None	None
F5OS-A	۱٫x	None	Not applicable	Not vulnerable	None	None
F5OS-C	۱٫x	None	Not applicable	Not vulnerable	None	None
Traffix SDC	۵٫x	None	Not applicable	Not vulnerable	None	None

آسیب‌ پذیری برنامه‌های متداول

آسیب پذیری در BIG-IP