BSI は、F5 の BIG-IP 製品の脆弱性に関するセキュリティ警告を発行しました。 この脆弱性は、BSI によって IT 脅威レベル 2、つまり黄色に分類されています。 ただし、CVSS 値は 9,8 - 重要です。 管理者は、システムをチェックして対処する必要があります。
4 年 2022 月 5 日、F2022 は、攻撃者がコマンドを実行し、サービスを無効にし、ファイルを作成/削除し、最終的に BIG-IP ファミリのソリューションを制御してデバイスを取得できる脆弱性に関するセキュリティ アドバイザリをリリースしました。 この主な理由は、iControl REST インターフェイスの認証における脆弱性です (CVE-1388-9.8)。 Common Vulnerability Scoring System (CVSS) (CVSSv3) によると、脆弱性は XNUMX の値で「重大」に分類されます。
BIG-IP ファミリ製品の脆弱性
次の BIG-IP バージョンのコンポーネントが影響を受けます。
- 16.1.0 – 16.1.2
- 15.1.0 – 15.1.5
- 14.1.0 – 14.1.4
- 13.1.0 – 13.1.4
- 12.1.0~12.1.6(通常サポート終了済み)
- 11.6.1~11.6.5(通常サポート終了済み)
BSI によると、製造元が事実を発表した後、IT ポータルやソーシャル メディアで、この脆弱性を悪用するのは特に簡単であると考えられるという報告が増えました。 とりわけ、Horizon3.ai 社のセキュリティ研究者は、7 年 2022 月 19 日に、現在の暦週 (第 XNUMX 週) に脆弱性の概念実証コード (PoC コード) を公開すると発表しました。 記述された事実に関するさらなる投稿は、PoC が近い将来に他の情報源によって公開されるか、すでに流通していることを示唆しています。
詳細は BSI.Bund.de をご覧ください
連邦情報セキュリティ局 (BSI) について 連邦情報セキュリティ局 (BSI) は、連邦のサイバー セキュリティ機関であり、ドイツにおける安全なデジタル化の設計者です。 ミッション ステートメント: BSI は、連邦のサイバー セキュリティ機関として、州、企業、社会の防止、検出、および対応を通じて、デジタル化における情報セキュリティを設計します。