В F5 BIG-IP устранили критическую RCE-уязвимость

Разработчики F5 предупреждают о критической уязвимости, которая позволяет неаутентифицированным злоумышленникам с доступом к сети выполнять произвольные системные команды, действия с файлами и отключать службы в BIG-IP.

В общей сложности на этой неделе разработчики F5 выпустили исправления для 43 ошибок в своих продуктах, включая один критический баг, 17 проблем с высокой степенью серьезности, 24 — средней степени серьезности и одну уязвимость низкой серьезности.

Самой опасной проблемой из этого «набора» стала CVE-2022-1388, получившая 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS. Недостаток связан с отсутствием аутентификации и позволяет злоумышленнику захватить контроль над уязвимой системой. Сообщается, что проблема затрагивает компонент iControl REST и фактически позволяет хакеру отправлять скрытые запросы для обхода аутентификации iControl REST в BIG-IP.

Уязвимость представляет угрозу для следующих продуктов:

• BIG-IP версий от 16.1.0 до 16.1.2;
• BIG-IP версий от 15.1.0 до 15.1.5;
• BIG-IP версий от 14.1.0 до 14.1.4;
• BIG-IP версий от 13.1.0 до 13.1.4;
• BIG-IP версий от 12.1.0 до 12.1.6;
• BIG-IP версий от 11.6.1 до 11.6.5.

Патчи были представлены в версиях 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 и 13.1.5, а ветки 12.x и 11.x исправлений не получат.

Подчеркивается, что другие продукты F5, включая BIG-IQ, F5OS-A, F5OS-C и Traffix SDC этой проблемой не затронуты.

Разработчики говорят, что временно защититься от CVE-2022-1388 можно заблокировав любой доступ к интерфейсу REST iControl в системе BIG-IP через собственные IP-адреса (self IP address), ограничив доступ только доверенными пользователями и устройствами через интерфейс управления или изменив конфигурацию httpd BIG-IP.