Penyedia keamanan cloud dan jaringan pengiriman aplikasi (ADN) F5 pada hari Rabu merilis tambalan yang mengandung 43 bug yang mencakup produknya.
Dari 43 masalah yang ditangani, satu diberi peringkat Kritis, 17 diberi peringkat Tinggi, 24 diberi peringkat Sedang, dan satu diberi peringkat rendah dalam tingkat keparahan.
Salah satu kelemahan utama adalah CVE-2022-1388, yang membawa skor CVSS 9,8 dari maksimum 10 dan berasal dari kurangnya pemeriksaan otentikasi, yang berpotensi memungkinkan penyerang untuk mengendalikan sistem yang terpengaruh.
“Kerentanan ini memungkinkan penyerang yang tidak diautentikasi dengan akses jaringan ke sistem BIG-IP melalui port manajemen dan/atau alamat IP mandiri untuk menjalankan perintah sistem yang sewenang-wenang, membuat atau menghapus file, atau menonaktifkan layanan,” kata F5 dalam sebuah penasihat. “Tidak ada paparan bidang data; ini hanya masalah bidang kontrol.”
Kerentanan keamanan, yang menurut perusahaan ditemukan secara internal, memengaruhi produk BIG-IP dengan versi berikut –
- 16.1.0 – 16.1.2
- 15.1.0 – 15.1.5
- 14.1.0 – 14.1.4
- 13.1.0 – 13.1.4
- 12.1.0 – 12.1.6
- 11.6.1 – 11.6.5
Patch untuk cacat bypass otentikasi iControl REST telah diperkenalkan di versi 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6, dan 13.1.5. Produk F5 lainnya seperti BIG-IQ Centralized Management, F5OS-A, F5OS-C, dan Traffix SDC tidak rentan terhadap CVE-2022-1388.
F5 juga menawarkan solusi sementara hingga perbaikan dapat diterapkan –
- Blokir akses iControl REST melalui alamat IP mandiri
- Blokir akses iControl REST melalui antarmuka manajemen
- Ubah konfigurasi BIG-IP httpd
Bug penting lainnya yang diselesaikan sebagai bagian dari pembaruan termasuk yang dapat mengizinkan penyerang yang diautentikasi untuk melewati batasan mode Appliance dan mengeksekusi kode JavaScript arbitrer dalam konteks pengguna yang saat ini masuk.
Dengan peralatan F5 yang banyak digunakan di jaringan perusahaan, organisasi harus bergerak cepat untuk menerapkan patch guna mencegah pelaku ancaman mengeksploitasi vektor serangan untuk akses awal.
Perbaikan keamanan datang ketika Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) menambahkan lima kelemahan baru ke Katalog Kerentanan yang Diketahui yang Dieksploitasi berdasarkan bukti eksploitasi aktif –