Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Krytyczna podatność w urządzeniach F5 – przez API REST można przejmować całe maszyny (CVE-2022-1388)

05 maja 2022, 11:05 | W biegu | 1 komentarz
Tagi: ,

Gdyby ktoś miał wątpliwości czy bezpieczeństwo aplikacji webowych ma się coraz lepiej – tutaj macie odpowiedź: nie ma się lepiej ;-)

Opis podatności jest dość jednoznaczny:

This vulnerability may allow an unauthenticated attacker with network access to the BIG-IP system through the management port and/or self IP addresses to execute arbitrary system commands, create or delete files, or disable services. There is no data plane exposure; this is a control plane issue only.

Czyli jeśli nieopatrznie wystawimy do Internetu panel zarządczy urządzenia (a dokładniej API REST), to nieuwierzytelniony atakujący może wykonać dowolne polecenia w OS – czyli w skrócie przejąć urządzenie. Brakuje tylko informacji czy napastnik uzyskuje od razu uprawnienia root, czy mniejsze.

F5 nadało podatności CVE-2022-1388 „wycenę” 9.8/10 w skali CVSS – zatem nie zwlekajcie z łataniem…

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz