近日,应用交付领域(ADN)全球领导者F5公司发布了一项安全警告,其研究团队监测到一个关键漏洞正在被积极利用。漏洞的追踪代码为CVE-2022-1388,CVSS 3.0评分为9.8,危险等级非常高。该漏洞允许未经身份验证的 *** 攻击者执行任意系统命令,执行文件操作,并禁用BIG-IP上的服务。
根据F5的安全研究显示,这个漏洞存在于iControl REST组件中,并允许攻击者发送未公开的请求以绕过BIG-IP中的iControl REST认证。
由于该漏洞的严重性以及BIG-IP产品的广泛应用,CISA(美国 *** 安全和基础设施安全局)也对此发出了警告。
受影响产品的完整名单如下:
BIG-IP versions 16.1.0 to 16.1.2
BIG-IP versions 15.1.0 to 15.1.5
BIG-IP versions 14.1.0 to 14.1.4
BIG-IP versions 13.1.0 to 13.1.4
BIG-IP versions 12.1.0 to 12.1.6
BIG-IP versions 11.6.1 to 11.6.5
F5公司方面表示,目前已在版本v17.0.0、v16.1.2.2、v15.1.5.1、v14.1.4.6 和 v13.1.5 中引入了修复补丁。而版本12.x和11.x 可能将不会受到修复。
此外,在安全报告中,研究人员特别指出了BIG-IQ集中管理(Centralized Management),F5OS-A, F5OS-C,和Traffic SDC不会受到CVE-2022-1388的影响。
对于那些暂时不能进行安全更新的人,F5提供了以下3个有效的缓解措施:通过自有 IP 地址阻止对 BIG-IP 系统的 iControl REST 接口的所有访问;通过管理界面将访问限制为仅受信任的用户和设备;修改 BIG-IP httpd 配置。
在F5发布的安全报告中,我们可以看到关于如何完成上述操作的所有细节。但有些 *** ,如完全阻止访问可能对服务产生影响,包括破坏高可用性(HA)配置。因此,如果可以的话,安全更新仍然是更佳的途径。
由于F5 BIG-IP设备被企业广泛应用,这个漏洞就导致了攻击者获得对企业 *** 的初始访问权限的重大风险。对此,F5发布了一项通用性更高的安全报告,涵盖了在BIG-IP中发现和修复的另外17个高危漏洞。
更糟糕的是,自2020年以来,安全研究人员Nate Warfield发现,被公开暴露的BIG-IP设备数量显著增加,而企业妥善保护的设备数量却没有。
基于Warfield共享的查询,在搜索引擎Shodan上,我们可以看到当前共有有16,142台F5 BIG-IP设备被公开暴露在 *** 上。 这些设备大多位于美国,其次是中国、印度、澳大利亚和日本。
现在,安全研究人员已经开始缩小范围地检测漏洞,或许就在不久的将来,我们就可以看到攻击者如何扫描易受攻击的设备。
报告的结尾,研究人员建议管理员务必对设备进行补丁修复,或者采取报告建议的 *** 减轻漏洞的影响。
转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332097.html
封面来源于 *** ,如有侵权请联系删除
Google 今天发布了第 3 个紧急更新,修复了存在于 Chrome 浏览器中的另一个零日漏洞。周四,Google 面向 macOS、Windows 和 Linux 发布了 Chrome 100.0.4898.127 更新,会在未来几天内完成部署。 本次更新修复了追踪为 CVE-2022-1364...
在周四的一份网络安全公告中,育碧(Ubisoft)证实该公司在上周遭遇了一起“网络安全事件”。尽管攻击尝试似乎未能造成破坏,但出于安全方面的考虑,育碧还是采取了全公司范围内的密码重置措施,以防发生其它意外。在此期间,育碧暂停了部分服务,但坚称没有玩家数据受到损害。截止发稿时,该公司旗下所有游戏和服...
由周四发布的“网络垃圾”(Webspam)报告可知,谷歌搜索在 2021 年过滤的垃圾网站数量、竟是 2020 年的六倍。据悉,作为 Alphabet 旗下子公司,Google 有一套名为 SpamBrian 的人工智能垃圾过滤系统,并且可在超过 99% 情况下实现“不受垃圾所困扰”(spam-fr...
自 Windows 11 系统 2021 年 6 月发布以来,不断有各种活动欺骗用户下载恶意的 Windows 11 安装程序。虽然这种情况在过去一段时间里有所遏制,但现在又卷土重来,而且破坏力明显升级。 网络安全公司 CloudSEK 近日发现了一个新型恶意软件活动,看起来非常像是微软的官方网站...
2018年,英特尔、AMD、ARM曝出CPU安全事件,引起广泛关注,舆论一片哗然。虽然英特尔公司表示此次事件不仅仅是英特尔,还涉及AMD/ARM等厂商,且CPU 漏洞补丁基本不会给普通用户造成任何影响,但这次bug依旧被定为成行业大事件。 时隔几年,CPU又再次曝出一个大bug,有意思的...
Facebook正面临一场世界各地隐私法规“海啸”,这将迫使该公司大幅改变处理用户个人数据的方式。根据外媒获得的一份从Facebook泄露的文件,Facebook这场“劫难”的根源在于,他们自己都搞不清楚用户数据的用途和去向。 这份泄露的文件是由Facebook广告和商业产品团队的隐私工程师去...