当前位置:首页 > 网络黑客 > 正文内容

设备接管风险警告!F5 发现一个关键 BIG-IP 远程执行漏洞

访客56年前 (1970-01-01)网络黑客878

近日,应用交付领域(ADN)全球领导者F5公司发布了一项安全警告,其研究团队监测到一个关键漏洞正在被积极利用。漏洞的追踪代码为CVE-2022-1388,CVSS 3.0评分为9.8,危险等级非常高。该漏洞允许未经身份验证的 *** 攻击者执行任意系统命令,执行文件操作,并禁用BIG-IP上的服务。

根据F5的安全研究显示,这个漏洞存在于iControl REST组件中,并允许攻击者发送未公开的请求以绕过BIG-IP中的iControl REST认证。

由于该漏洞的严重性以及BIG-IP产品的广泛应用,CISA(美国 *** 安全和基础设施安全局)也对此发出了警告。

受影响产品的完整名单如下:

BIG-IP versions 16.1.0 to 16.1.2

BIG-IP versions 15.1.0 to 15.1.5

BIG-IP versions 14.1.0 to 14.1.4

BIG-IP versions 13.1.0 to 13.1.4

BIG-IP versions 12.1.0 to 12.1.6

BIG-IP versions 11.6.1 to 11.6.5

F5公司方面表示,目前已在版本v17.0.0、v16.1.2.2、v15.1.5.1、v14.1.4.6 和 v13.1.5 中引入了修复补丁。而版本12.x和11.x 可能将不会受到修复。

此外,在安全报告中,研究人员特别指出了BIG-IQ集中管理(Centralized Management),F5OS-A, F5OS-C,和Traffic SDC不会受到CVE-2022-1388的影响。

对于那些暂时不能进行安全更新的人,F5提供了以下3个有效的缓解措施:通过自有 IP 地址阻止对 BIG-IP 系统的 iControl REST 接口的所有访问;通过管理界面将访问限制为仅受信任的用户和设备;修改 BIG-IP httpd 配置。

在F5发布的安全报告中,我们可以看到关于如何完成上述操作的所有细节。但有些 *** ,如完全阻止访问可能对服务产生影响,包括破坏高可用性(HA)配置。因此,如果可以的话,安全更新仍然是更佳的途径。

由于F5 BIG-IP设备被企业广泛应用,这个漏洞就导致了攻击者获得对企业 *** 的初始访问权限的重大风险。对此,F5发布了一项通用性更高的安全报告,涵盖了在BIG-IP中发现和修复的另外17个高危漏洞。

更糟糕的是,自2020年以来,安全研究人员Nate Warfield发现,被公开暴露的BIG-IP设备数量显著增加,而企业妥善保护的设备数量却没有。

基于Warfield共享的查询,在搜索引擎Shodan上,我们可以看到当前共有有16,142台F5 BIG-IP设备被公开暴露在 *** 上。 这些设备大多位于美国,其次是中国、印度、澳大利亚和日本。

现在,安全研究人员已经开始缩小范围地检测漏洞,或许就在不久的将来,我们就可以看到攻击者如何扫描易受攻击的设备。

报告的结尾,研究人员建议管理员务必对设备进行补丁修复,或者采取报告建议的 *** 减轻漏洞的影响。

转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332097.html

封面来源于 *** ,如有侵权请联系删除

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32158.html

“设备接管风险警告!F5 发现一个关键 BIG-IP 远程执行漏洞” 的相关文章

GitHub 透露:攻击者利用偷来的 OAuth 令牌入侵了几十个组织

GitHub今天透露,一名攻击者正在使用偷来的OAuth用户令牌(原本发放给Heroku和Travis-CI),从私人仓库下载数据。自2022年4月12日首次发现这一活动以来,威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。...

报道称 SafeGraph 正在出售访问堕胎诊所的人的位置数据

根据Motherboard购买的几组数据,一家定位数据公司正在出售与访问提供堕胎服务的诊所有关的信息,包括计划生育设施,显示访问这些地点的人群来自哪里,他们在那里停留了多长时间,以及他们随后去了哪里。 在泄露的最高法院意见草案中, Alito法官表示,法院准备废除罗伊诉韦德案的裁决,该案是数十年来为...

乌克兰 MacPaw 公司发布 SpyBuster 旨在帮助用户应对俄罗斯的数据管控

位于乌克兰的Setapp开发商MacPaw已经创建了一个Mac应用程序,供用户了解他们的数据是否被保存在俄罗斯服务器上,依照该国法律可以被当局读取。总部位于乌克兰基辅的MacPaw已经告诉用户,尽管俄罗斯入侵该国,但这家乌克兰公司开发的软件作品Setapp、CleanMyMac X等将继续提供支持。...

美政府正在对量子计算机对加密技术构成的威胁做准备

在现在跟黑客直接对抗之时,美国政府官员正在为另一个更长期的威胁做准备:攻击者现在正在收集敏感的加密数据并希望他们能在未来的某个时候将其解锁。这种威胁来自于量子计算机,它的工作方式跟我们今天使用的经典计算机非常不同。 它们使用的不是由1和0组成的传统比特,而是可以同时代表不同数值的量子比特。量子计算...

Clearview AI 被指违反澳大利亚隐私法 已收集至少 30 亿人面部数据

澳大利亚信息专员发现,Clearview AI 在许多方面违反了澳大利亚的隐私法。在此前的双边调查中发现,该公司的面部识别工具未经同意并以不公平的方式收集澳大利亚人的敏感信息。由澳大利亚信息专员办公室(OAIC)和英国信息专员办公室(ICO)进行的调查发现,Clearview AI 的面部识别工具不...

美国国土安全部推出“黑客 DHS ”漏洞赏金计划

据The Record报道,美国国土安全部(DHS)当地时间周二宣布,该机构的负责人已经启动了一项漏洞赏金计划,允许黑客报告其系统中的漏洞,以换取金钱奖励。 美国国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)在出席彭博科技峰会时说:“我们不仅关注保护和加强私营部门和整个...

评论列表

闹旅城鱼
3年前 (2022-05-31)

设备大多位于美国,其次是中国、印度、澳大利亚和日本。现在,安全研究人员已经开始缩小范围地检测漏洞,或许就在不久的将来,我们就可以看到攻击者如何扫描易受攻击的设备。报告的结尾,研究人员建议管理员务必对设备进行补丁修复,或者采取报告建议的方法减轻漏洞的影响。

酒奴徒掠
3年前 (2022-05-31)

P上的服务。根据F5的安全研究显示,这个漏洞存在于iControl REST组件中,并允许攻击者发送未公开的请求以绕过BIG-IP中的iControl REST认证。由于该漏洞的严重性以及BIG-IP产品的广泛应用,CISA(美国网络安全和基础设施安全局)也对此发出了警告。受影响产

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。