O BSI emitiu um aviso de segurança sobre uma vulnerabilidade nos produtos BIG-IP da F5. A vulnerabilidade é classificada pelo BSI como ameaça de TI nível 2, ou seja, amarela. O valor CVSS, porém, com 9,8 - crítico. Os administradores devem verificar os sistemas e agir.
Em 4 de maio de 2022, a F5 lançou um comunicado de segurança sobre uma vulnerabilidade que pode permitir que invasores executem comandos, desativem serviços, criem/excluam arquivos e, por fim, assumam o controle da família de soluções BIG-IP para obter dispositivos. A principal razão para isso é uma vulnerabilidade na autenticação da interface REST do iControl (CVE-2022-1388). A vulnerabilidade é classificada como “crítica” com um valor de 9.8 de acordo com o Common Vulnerability Scoring System (CVSS) (CVSSv3).
Vulnerabilidade na família de produtos BIG-IP
Os componentes com as seguintes versões do BIG-IP são afetados:
- 16.1.0 – 16.1.2
- 15.1.0 – 15.1.5
- 14.1.0 – 14.1.4
- 13.1.0 – 13.1.4
- 12.1.0 – 12.1.6 (Fim do suporte regular já alcançado.)
- 11.6.1 – 11.6.5 (Fim do suporte regular já alcançado.)
De acordo com o BSI: Depois que o fabricante anunciou os fatos, aumentaram os relatos em portais de TI e mídias sociais de que explorar a vulnerabilidade era considerado particularmente fácil. Entre outras coisas, os pesquisadores de segurança da empresa Horizon3.ai anunciaram em 7 de maio de 2022 que publicariam o código de prova de conceito (código PoC) para a vulnerabilidade na semana atual (semana 19). Outras postagens sobre os fatos descritos sugerem que os PoCs também serão publicados por outras fontes em um futuro próximo ou já estão em circulação.
Mais em BSI.Bund.de
Sobre o Escritório Federal de Segurança da Informação (BSI) O Escritório Federal de Segurança da Informação (BSI) é a autoridade federal de segurança cibernética e o criador da digitalização segura na Alemanha. A declaração de missão: O BSI, como autoridade federal de segurança cibernética, projeta segurança da informação na digitalização por meio de prevenção, detecção e resposta para o estado, negócios e sociedade.