Af Eskil Sørensen, 06/05/22
Cloudsikkerheds- og ADN-udbyderen F5 udsendte onsdag patches til håndtering af 43 fejl i virksomhedens produkter.
Det skriver The Hacker News, Security Week m.fl. på baggrund af en meddelelse fra F5.
Af de 43 fejl vurderes en til at være kritisk, 17 har ratingen høj, mens 25 er vurderet til at være middel eller lav.
Den vigtigste fejl har id’et CVE-2022-1388 og vedrører BIG-IP-systemet. Fejlen, der har en score på 9,8 på CVSS-skalaen, omhandler manglende kontrol af autentifikation, hvilket kan give en angriber mulighed for at tage kontrol over et berørt system. F5 oplyser i en meddelelse, at den gør det muligt for en uautoriseret angriber med netværksadgang til BIG-IP-systemet gennem fx administrationsporten at udføre vilkårlige systemkommandoer, oprette eller slette filer eller deaktivere tjenester.
Sårbarheden påvirker en række BIG-IP-produkter med forskellige versionsnumre mellem 11.6 og 16.1.2 - patches er blevet introduceret i en række nye versioner, ligesom F5 har anvist midlertidige løsninger, hvis det ikke er muligt at implementere rettelserne.
The Hacker News skriver, at det er ’bydende nødvendigt’, at organisationer med F5-maskiner udbredt i virksomhedsnetværk, hurtigt implementerer forhindre trusselsaktører i at udnytte sårbarhederne.
Links:
https://thehackernews.com/2022/05/f5-warns-of-new-critical-big-ip-remote.html
https://www.securityweek.com/f5-informs-big-ip-customers-about-18-serious-vulnerabilities