F5 Networks, penyedia terkemuka perlengkapan jaringan perusahaan, telah mengumumkan empat kerentanan eksekusi kode jarak jauh (RCE) kritis yang memengaruhi sebagian besar versi perangkat lunak BIG-IP dan BIG-IQ.
F5 BIG-IP perangkat lunak dan pelanggan perangkat keras termasuk pemerintah, perusahaan Fortune 500, bank, penyedia layanan internet, dan merek konsumen (termasuk Microsoft, Oracle, dan Facebook), dengan perusahaan mengklaim bahwa “48 dari Fortune 50 mengandalkan F5”.
Empat kerentanan kritis yang tercantum di bawah ini juga mencakup cacat keamanan RCE pre-auth (CVE-2021-22986) yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menjalankan perintah sewenang-wenang pada perangkat BIG-IP yang disusupi:
- CVE-2021-22986: iControl REST unauthenticated remote command execution (9.8/10)
- CVE-2021-22987: Appliance Mode TMUI authenticated remote command execution
- CVE-2021-22991: TMM buffer-overflow (9.0/10)
- CVE-2021-22992: Advanced WAF/ASM buffer-overflow (9.0/10)
Eksploitasi yang berhasil dari kerentanan BIG-IP RCE yang kritis dapat menyebabkan gangguan sistem penuh, termasuk intersepsi lalu lintas aplikasi pengontrol dan perpindahan lateral ke jaringan internal.
F5 juga menerbitkan peringatan keamanan pada tiga kerentanan RCE lainnya (dua tinggi dan satu medium, dengan peringkat keparahan CVSS antara 6,6 dan 8,8), memungkinkan penyerang jarak jauh yang diautentikasi untuk menjalankan perintah sistem sewenang-wenang.
Tujuh kerentanan diperbaiki dalam versi BIG-IP berikut: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3, dan 11.6.5.3.
Sumber: Bleeping Computer
