Podatność RCE bez uwierzytelnienia w F5 BIG-IP – łatajcie

06 lipca 2020, 09:47 | W biegu | komentarze 3
Tagi: ,
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Podatność uzyskała z jednej strony 10/10 w skali CVSSv3, z drugiej wymaga dostępu do ekranu logowania panelu zarządczego urządzenia (po https). Z trzeciej wygląda na prostą do wykorzystania:

By exploiting this vulnerability, a remote attacker with access to the BIG-IP configuration utility could, without authorization, perform remote code execution (RCE1). The attacker can create or delete files, disable services, intercept information, run arbitrary system commands and Java code, completely compromise the system, and pursue further targets, such as the internal network. 

Jeśli ktoś poszuka exploita, w miarę łatwo go znajdzie, a aktywne wykorzystanie luki CVE-2020-5902 już się zaczęło. O tym zresztą w weekend ostrzegało wielu:

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Tomasz
    Odpowiedz
    • hmmm, u nas działa

      Odpowiedz
      • Tomasz

        Aha, ich strona osobliwie reaguje na dodatek RequestPolicy.

        Odpowiedz

Odpowiedz