Обнаружены две опасные уязвимости в устройствах BIG-IP и BIG-IQ от F5

В устройствах BIG-IP и BIG-IQ от F5 было обнаружено несколько уязвимостей в системе безопасности, в случае успешной эксплуатации которых злоумышленники могут взять под полный контроль затронутые устройства.

По словам специалистов из Rapid7, бреши в защите могут быть использованы хакерами для получения удаленного доступа к устройствам и обхода защитных решений. Уязвимости затрагивают BIG-IP версий 13.x, 14.x, 15.x, 16.x и 17.x, а также BIG-IQ Centralized Management версий 7.x и 8.x.

Ниже находится информация об уязвимостях, про которые F5 сообщила 18 августа 2022 года:

• CVE-2022-41622 (8.8 баллов из 10 по шкале CVSS) – уязвимость межсайтовой подделки запроса (CSRF) через iControl SOAP, позволяющая злоумышленникам удаленно выполнить произвольный код без аутентификации. С ее помощью хакер может получить root-доступ к интерфейсу управления устройством, даже если он не выходит в интернет. Для успешной эксплуатации данной уязвимости необходимо, чтобы администратор с активной сессией посетил вредоносный веб-сайт;

• CVE-2022-41800 (8.7 баллов из 10 по шкале CVSS) – уязвимость в iControl REST, позволяющая авторизованному пользователю с ролью администратора обойти ограничения режима Appliance.

Кроме того, были выявлены три различных сценария, при которых злоумышленники могут обойти системы безопасности. Однако, их невозможно использовать без предварительного взлома существующих систем систем безопасности.

И хотя F5 не говорила о том, что любая из обнаруженных уязвимостей была использована хакерами, эксперты рекомендуют пользователям как можно скорее установить необходимые обновления по мере их появления, чтобы снизить потенциальные риски.