Haberler

Kritik F5 BIG-IP Zafiyeti, Hassas Sektörlerdeki Kullanıcıları Etkiliyor

F5, ağ cihazlarındaki bir düzineden fazla yüksek önem düzeyine sahip güvenlik açığını düzeltti. Güvenlik açıklarından birisi ise kritik önem düzeyine sahip.

Sorunlar, birden fazla F5 cihazı için yaklaşık 30 güvenlik açığını düzelten bu ayki güvenlik güncellemelerinin bir parçası olarak ortaya çıktı.

Hassas sektörler için kritik hata

F5’in düzelttiği yüksek önemdeki on üç kusurdan biri, “özellikle hassas sektörlerdeki müşterilerin ihtiyaçlarını karşılamak için tasarlanmış” bir konfigürasyonda tüm sistemi tehlikeye atabilecek potansiyelde.

İlgili hata CVE-2021-23031 olarak kodlandı ve özellikle, Gelişmiş WAF (Web Uygulaması Güvenlik Duvarı), Uygulama Güvenliği Yöneticisi’ni (ASM) ve Trafik Yönetimi Kullanıcı Arayüzü’nü (TMUI) etkiliyor.

Normalde, 8.8 önem derecesine sahip bir bir hata iken, aynı güvenlik açığı bazı teknik kısıtlamalar uygulayan Appliance Modunu kullanan müşteriler için 10 üzerinden 9,9 puanlık hayli yüksek bir öneme derecesine sahip.

F5’in CVE-2021-23031 yayınlamış olduğu raporda, söz konusu hatanın neden iki önem derecesine sahip olduğuna dair pek fazla ayrıntı bulunmuyor.

F5, cihazları güncellemenin mümkün olmadığı kuruluşlar için, olası kötüye kullanımlara karşı savunmanın tek yolunun Appliance yardımcı programına erişimi yalnızca tamamen güvenilir kullanıcılarla sınırlamak olduğunu söylüyor.

CVE-2021-23031 dışında, F5’in bu ay ele aldığı bir düzine yüksek önemde güvenlik hatası, 7,2 ile 7,5 arasında önem derecesi içeriyor. Bunların yarısı tüm modülleri, beşi Gelişmiş WAF ve ASM’yi ve biri de DNS modülünü etkilemekte.

CVE / Hata IDÖnemCVSS Derecesi Etkilenen ÜrünlerEtkilenen VersiyonlarSorunun Çözüldüğü Versiyon
CVE-2021-23025Yüksek7.2BIG-IP (Bütün modüller)15.0.0 – 15.1.0
14.1.0 – 14.1.3
13.1.0 – 13.1.3
12.1.0 – 12.1.6
11.6.1 – 11.6.5
16.0.0
15.1.0.5
14.1.3.1
13.1.3.5
CVE-2021-23026 Yüksek 7.5BIG-IP (Bütün modüller) 16.0.0 – 16.0.1
15.1.0 – 15.1.2
14.1.0 – 14.1.4
13.1.0 – 13.1.4
12.1.0 – 12.1.6
11.6.1 – 11.6.5
16.1.0
16.0.1.2
15.1.3
14.1.4.2
13.1.4.1
CVE-2021-23027 Yüksek 7.5BIG-IP (Bütün modüller) 16.0.0 – 16.0.1
15.1.0 – 15.1.2
14.1.0 – 14.1.4
16.1.0
16.0.1.2
15.1.3.1
14.1.4.3
CVE-2021-23028 Yüksek 7.5BIG-IP (Advanced WAF, ASM)16.0.0 – 16.0.1
15.1.0 – 15.1.3
14.1.0 – 14.1.4
13.1.0 – 13.1.3
16.1.0
16.0.1.2
15.1.3.1
14.1.4.2
13.1.4
CVE-2021-23029 Yüksek 7.5BIG-IP (Advanced WAF, ASM)16.0.0 – 16.0.116.1.0
16.0.1.2
CVE-2021-23030 Yüksek 7.5BIG-IP (Advanced WAF, ASM)16.0.0 – 16.0.1
15.1.0 – 15.1.3
14.1.0 – 14.1.4
13.1.0 – 13.1.4
12.1.0 – 12.1.6
16.1.0
16.0.1.2
15.1.3.1
14.1.4.3
13.1.4.1
CVE-2021-23031 Yüksek – Appliance Mod için Kritik8.8–9.9BIG-IP (Advanced WAF, ASM)16.0.0 – 16.0.1
15.1.0 – 15.1.2
14.1.0 – 14.1.4
13.1.0 – 13.1.3
12.1.0 – 12.1.5
11.6.1 – 11.6.5
16.1.0
16.0.1.2
15.1.3
14.1.4.1
13.1.4
12.1.6
11.6.5.3
CVE-2021-23032 Yüksek 7.5BIG-IP (DNS)16.0.0 – 16.0.1
15.1.0 – 15.1.3
14.1.0 – 14.1.4
13.1.0 – 13.1.4 
12.1.0 – 12.1.6
16.1.0 
15.1.3.1
14.1.4.4
CVE-2021-23033 Yüksek 7.5BIG-IP (Advanced WAF, ASM)16.0.0 – 16.0.1
15.1.0 – 15.1.3
14.1.0 – 14.1.4
13.1.0 – 13.1.4
12.1.0 – 12.1.6
16.1.0
15.1.3.1
14.1.4.3
13.1.4.1
CVE-2021-23034 Yüksek 7.5BIG-IP (Bütün modüller) 16.0.0 – 16.0.1
15.1.0 – 15.1.3
16.1.0 
15.1.3.1
CVE-2021-23035 Yüksek 7.5BIG-IP (Bütün modüller)14.1.0 – 14.1.414.1.4.4
CVE-2021-23036 Yüksek 7.5BIG-IP (Advanced WAF, ASM, DataSafe)16.0.0 – 16.0.116.1.0
16.0.1.2
CVE-2021-23037 Yüksek 7.5BIG-IP (Bütün modüller) 16.0.0 – 16.1.0
15.1.0 – 15.1.3
14.1.0 – 14.1.4
13.1.0 – 13.1.4
12.1.0 – 12.1.6
11.6.1 – 11.6.5

Güncelleme yayınlanmış olan diğer güvenlik açıkları genelde daha az ciddi hatalar (orta ve düşük) içeriyor.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), F5’in yayınlamış olduğu rapor hakkında bir bildirim yayınlayarak kullanıcıları ve yöneticileri şirketten gelen bilgileri gözden geçirmeye, yazılım güncellemelerini yüklemeye veya gerekli tedbirleri uygulamaya davet etti.

Kaynak: bleepingcomputer.com

Diğer Haberler

Linux 30 Yaşında!
Microsoft, Windows 10 Update Sorunu İçin Güncelleme Yayınladı
Virgin Hyperloop Yeni Konsept Videosunu Yayınladı

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu