Eragin handiko ahulatsunak BIG-IP eta BIG-IQn

18/11/2022
Garrantzia
Handia
Etiketak
kalteberatasuna

F5 segurtasun-hornitzaileak berrikuspenak argitaratu ditu bi kalteberatasunetarako (CVE-2022-41622 y CVE-2022-41800), BIG-IP eta BIG-IQ sareko gailuei eragiten dietenak eta kodearen urruneko exekuzioa (RCE) eta gailuaren murrizketen bypassa eragin dezaketenak, hurrenez hurren. Konpainiak 8.8ko CVSS puntuazioa esleitu dio hutsegite larrienari (CVE-2022-41622 identifikatzailea duenari), eta larritasun-maila handia. Bigarrenak (CCVE-2022-41800 identifikatzailea duenak) 8.7ko CVSS puntuazioa du, eta, halaber, larritasun-maila handia.

Eragindako baliabideak:

  • BIG IPko modulu guztiak, 17.0.0 bertsioa, 16.1.0tik 16.1.3ra bitarteko bertsioak, 15.1.0tik 15.1.8ra bitartekoak, 14.1.0tik 14.1.5era bitartekoak eta 13.1.0tik 13.1.5era bitartekoak.
  • BIG-IQ Centralized Management, 8.0.0tik 8.2.0ra bitarteko bertsioak, 7.1.0 bertsioa (CVE-2022-41622 identifikatzailea duen kalteberatasunerako soilik).

Konponbidea:

Kalteberatasunak arintzeko, BCSCk gomendatzen du sistema eta aplikazioak erabilgarri dagoen azken bertsiora eguneratuta edukitzea beti, dagozkion eguneraketak argitaratu bezain laster.

CVE-2022-41622 hutsegitea arintzeko, web-nabigatzaile bakar eta isolatu bat erabil daiteke BIG-IP edo BIG-IQ sistema administratzean, kontuan hartuz eraso bat ezin dela prebenitu iControl SOAPen autentifikatu bada oinarrizko autentifikazioa duen web-nabigatzailean. Autentifikazio-mekanismo hori ez da oso arrunta, eta saio-hasierako orriaren erabilerarekiko desberdina da konfigurazioaren erabilgarritasunerako. F5etik gomendatzen da web-nabigatzailean oinarrizko autentifikazioarekin ez autentifikatzea. Oinarrizko autentifikaziorako autentifikazio-leiho bat agertzen bada web-nabigatzailean, ez dira kredentzialak eman behar.

Gomendatzen da jardunbiderik onenak jarraitzea administrazio-interfazerako sarbidea eta BIG-IP eta BIG-IQ sistemen beraren IP helbideak ziurtatzeko; horrek eraso-azalera minimizatzen lagunduko du. Informazio xehatua eskainitako segurtasun-abisuan dago.

CVE-2022-41800 kalteberatasunari dagokionez, F5etik ezartzen da bertsio finko bat instalatu arte aldi baterako arintze batzuk kontsulta daitezkeela segurtasun-abisuan. Arintze horiek iControl RESTerako sarbidea murrizten dute soilik sare edo gailu fidagarrietara, eta horrek eraso-azalera mugatzen du. Erasotzaileak pribilegio asko dituen administrazio-kontu baterako baliozko kredentzialak izan behar ditu; beraz, sarbidea murrizteak tarte fidagarriaren barruan konprometituta dagoen beste gailu baten barne-mugimendu gaizto baten edo alboko barne-mugimendu baten arriskupean utz dezake oraindik gailua.