Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Sypnęło krytycznymi podatnościami w urządzeniach F5. Wśród nich możliwość przejęcia urządzenia bez uwierzytelnienia (unauth RCE)
Poprzednio o podatności klasy RCE w urządzeniach F5 wspominaliśmy w 2020 roku. Obecnie firma załatała kolejne krytyczne luki:
Wśród nich chyba najgorsza jest podatność w API RESTowym, umożliwiająca przejmowanie całego urządzenia bez uwierzytelnienia:
This vulnerability allows for unauthenticated attackers with network access to the iControl REST interface, through the BIG-IP management interface and self IP addresses, to execute arbitrary system commands, create or delete files, and disable services.
–ms
Potrzebujemy Firewall i WAF za miliony, żeby było bezpieczniej…..