BSI, F5'in BIG-IP ürünlerindeki bir güvenlik açığı hakkında bir güvenlik uyarısı yayınladı. Güvenlik açığı, BSI tarafından BT tehdit düzeyi 2, yani sarı olarak sınıflandırılır. Bununla birlikte, CVSS değeri 9,8 ile - kritik. Yöneticiler sistemleri kontrol etmeli ve önlem almalıdır.
4 Mayıs 2022'de F5, saldırganların komut yürütmesine, hizmetleri devre dışı bırakmasına, dosya oluşturmasına/silmesine ve sonuç olarak BIG-IP çözüm ailesinin kontrolünü ele geçirmesine izin verebilecek bir güvenlik açığıyla ilgili bir güvenlik danışma belgesi yayınladı. Bunun ana nedeni, iControl REST arabiriminin (CVE-2022-1388) kimlik doğrulamasındaki bir güvenlik açığıdır. Güvenlik açığı, Ortak Güvenlik Açığı Puanlama Sistemine (CVSS) (CVSSv9.8) göre 3 değeriyle "kritik" olarak sınıflandırılıyor.
BIG-IP ürün ailesindeki güvenlik açığı
Aşağıdaki BIG-IP sürümlerine sahip bileşenler etkilenir:
- 16.1.0 - 16.1.2
- 15.1.0 - 15.1.5
- 14.1.0 - 14.1.4
- 13.1.0 - 13.1.4
- 12.1.0 – 12.1.6 (Düzenli desteğin sonuna gelindi.)
- 11.6.1 – 11.6.5 (Düzenli desteğin sonuna gelindi.)
BSI'ya göre: Üretici gerçekleri açıkladıktan sonra, BT portallarında ve sosyal medyada güvenlik açığından yararlanmanın özellikle kolay olduğu yönündeki raporlar arttı. Diğer şeylerin yanı sıra Horizon3.ai şirketinden güvenlik araştırmacıları, 7 Mayıs 2022'de güvenlik açığı için mevcut takvim haftasında (19. hafta) kavram kanıtı kodu (PoC kodu) yayınlayacaklarını duyurdu. Açıklanan gerçeklerle ilgili diğer gönderiler, PoC'lerin yakın gelecekte başka kaynaklar tarafından da yayınlanacağını veya zaten dolaşımda olduğunu gösteriyor.
BSI.Bund.de'de daha fazlası
Federal Bilgi Güvenliği Ofisi (BSI) hakkında Federal Bilgi Güvenliği Ofisi (BSI), federal siber güvenlik yetkilisidir ve Almanya'da güvenli sayısallaştırma tasarımcısıdır. Görev beyanı: Federal siber güvenlik otoritesi olarak BSI, devlet, iş dünyası ve toplum için önleme, tespit ve müdahale yoluyla dijitalleştirmede bilgi güvenliği tasarlar.