F5 تحذر من ثغرة أمنية جديدة في تنفيذ التعليمات البرمجية ,أصدرت شركة F5 لأمن السحابة وشبكة توصيل التطبيقات (ADN)  تصحيحات لاحتواء 43 خطأً تغطي منتجاتها.

من بين 43 مشكلة تم تناولها ، تم تصنيف أحدها على أنه حرج ، و 17 مشكلة تم تصنيفها على أنها عالية ، و 24 مشكلة متوسطة ، وواحدة تم تصنيفها على أنها منخفضة الخطورة.

من بين العيوب الرئيسية هي CVE-2022-1388 ، والتي تحمل درجة CVSS تبلغ 9.8 من 10 كحد أقصى وتنبع من عدم التحقق من المصادقة ، مما قد يسمح للمهاجمين بالسيطرة على النظام المتأثر.

قال F5 في تقرير استشاري: “قد تسمح هذه الثغرة الأمنية لمهاجم غير مصدق لديه وصول للشبكة إلى نظام BIG-IP من خلال منفذ الإدارة و / أو عناوين IP الذاتية لتنفيذ أوامر نظام تعسفية أو إنشاء ملفات أو حذفها أو تعطيل الخدمات”. “لا يوجد

عرض لمستوى البيانات ؛ هذه مشكلة طائرة تحكم فقط.”

تؤثر الثغرة الأمنية ، التي قالت الشركة أنه تم اكتشافها داخليًا ، على منتجات BIG-IP بالإصدارات التالية –

16.1.0 – 16.1.2
15.1.0 – 15.1.5
14.1.0 – 14.1.4
13.1.0 – 13.1.4
12.1.0 – 12.1.6
11.6.1 – 11.6.5

تم تقديم تصحيحات لعيب تجاوز مصادقة iControl REST في الإصدارات 17.0.0 و 16.1.2.2 و 15.1.5.1 و 14.1.4.6 و 13.1.5. منتجات F5 الأخرى مثل BIG-IQ Centralized Management و F5OS-A و F5OS-C و Traffix SDC ليست عرضة لـ CVE-2022-1388.

عرض F5 أيضًا حلولاً مؤقتة حتى يمكن تطبيق الإصلاحات –

  • قم بحظر الوصول إلى iControl REST من خلال عنوان IP الذاتي
  • منع الوصول إلى iControl REST من خلال واجهة الإدارة
  • قم بتعديل تكوين BIG-IP httpd

تتضمن الأخطاء البارزة الأخرى التي تم حلها كجزء من التحديث تلك التي قد تسمح للمهاجم المصادق عليه بتجاوز قيود وضع الجهاز وتنفيذ كود JavaScript عشوائي في سياق المستخدم المسجل حاليًا.

مع انتشار أجهزة F5 على نطاق واسع في شبكات المؤسسات ، من الضروري أن تتحرك المؤسسات بسرعة لتطبيق التصحيحات لمنع الجهات الفاعلة في التهديد من استغلال متجه الهجوم للوصول الأولي.

تأتي الإصلاحات الأمنية في الوقت الذي أضافت فيه وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) خمسة عيوب جديدة إلى دليلها المعروف لنقاط الضعف المستغلة استنادًا إلى دليل على الاستغلال النشط –

  • CVE-2021-1789 – ثغرة أمنية تتعلق بالارتباك من نوع منتجات Apple
  • CVE-2019-8506 – ثغرة أمنية تتعلق بالارتباك من نوع منتجات Apple
  • CVE-2014-4113 – ثغرة أمنية في تصعيد امتياز Microsoft Win32k
  • CVE-2015-10322 – ثغرة أمنية في استخدام Microsoft Internet Explorer
  • CVE-2014-0160 – ثغرة أمنية في الكشف عن معلومات OpenSSL

F5 تحذر من ثغرة أمنية جديدة في تنفيذ التعليمات البرمجية ,اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.

Share.

Leave A Reply