BSI ha emesso un avviso di sicurezza su una vulnerabilità nei prodotti BIG-IP di F5. La vulnerabilità è classificata da BSI come minaccia informatica di livello 2, cioè gialla. Il valore CVSS, tuttavia, con 9,8 - critico. Gli amministratori dovrebbero controllare i sistemi e agire.
Il 4 maggio 2022, F5 ha rilasciato un avviso di sicurezza relativo a una vulnerabilità che potrebbe consentire agli aggressori di eseguire comandi, disabilitare servizi, creare/eliminare file e infine assumere il controllo della famiglia di soluzioni BIG-IP per ottenere il dispositivo. La ragione principale di ciò è una vulnerabilità nell'autenticazione dell'interfaccia REST di iControl (CVE-2022-1388). La vulnerabilità è classificata come “critica” con un valore di 9.8 secondo il Common Vulnerability Scoring System (CVSS) (CVSSv3).
Vulnerabilità nella famiglia di prodotti BIG-IP
Sono interessati i componenti con le seguenti versioni BIG-IP:
- 16.1.0 - 16.1.2
- 15.1.0 - 15.1.5
- 14.1.0 - 14.1.4
- 13.1.0 - 13.1.4
- 12.1.0 – 12.1.6 (Fine del supporto regolare già raggiunta.)
- 11.6.1 – 11.6.5 (Fine del supporto regolare già raggiunta.)
Secondo BSI: Dopo che il produttore ha annunciato i fatti, sono aumentate le segnalazioni nei portali IT e nei social media secondo cui lo sfruttamento della vulnerabilità era considerato particolarmente facile. Tra le altre cose, i ricercatori di sicurezza della società Horizon3.ai hanno annunciato il 7 maggio 2022 che avrebbero pubblicato il codice proof-of-concept (codice PoC) per la vulnerabilità nell'attuale settimana di calendario (settimana 19). Ulteriori post sui fatti descritti suggeriscono che i PoC saranno pubblicati anche da altre fonti nel prossimo futuro o sono già in circolazione.
Maggiori informazioni su BSI.Bund.de
Informazioni sull'Ufficio federale per la sicurezza delle informazioni (BSI) L'Ufficio federale per la sicurezza informatica (BSI) è l'autorità federale per la sicurezza informatica e il progettista della digitalizzazione sicura in Germania. La missione: la BSI, in qualità di autorità federale per la sicurezza informatica, progetta la sicurezza delle informazioni nella digitalizzazione attraverso la prevenzione, il rilevamento e la risposta per lo stato, le imprese e la società.