Kritik F5 BIG-IP Zafiyeti, Hassas Sektörlerdeki Kullanıcıları Etkiliyor
F5, ağ cihazlarındaki bir düzineden fazla yüksek önem düzeyine sahip güvenlik açığını düzeltti. Güvenlik açıklarından birisi ise kritik önem düzeyine sahip.
Sorunlar, birden fazla F5 cihazı için yaklaşık 30 güvenlik açığını düzelten bu ayki güvenlik güncellemelerinin bir parçası olarak ortaya çıktı.
Hassas sektörler için kritik hata
F5’in düzelttiği yüksek önemdeki on üç kusurdan biri, “özellikle hassas sektörlerdeki müşterilerin ihtiyaçlarını karşılamak için tasarlanmış” bir konfigürasyonda tüm sistemi tehlikeye atabilecek potansiyelde.
İlgili hata CVE-2021-23031 olarak kodlandı ve özellikle, Gelişmiş WAF (Web Uygulaması Güvenlik Duvarı), Uygulama Güvenliği Yöneticisi’ni (ASM) ve Trafik Yönetimi Kullanıcı Arayüzü’nü (TMUI) etkiliyor.
Normalde, 8.8 önem derecesine sahip bir bir hata iken, aynı güvenlik açığı bazı teknik kısıtlamalar uygulayan Appliance Modunu kullanan müşteriler için 10 üzerinden 9,9 puanlık hayli yüksek bir öneme derecesine sahip.
F5’in CVE-2021-23031 yayınlamış olduğu raporda, söz konusu hatanın neden iki önem derecesine sahip olduğuna dair pek fazla ayrıntı bulunmuyor.
F5, cihazları güncellemenin mümkün olmadığı kuruluşlar için, olası kötüye kullanımlara karşı savunmanın tek yolunun Appliance yardımcı programına erişimi yalnızca tamamen güvenilir kullanıcılarla sınırlamak olduğunu söylüyor.
CVE-2021-23031 dışında, F5’in bu ay ele aldığı bir düzine yüksek önemde güvenlik hatası, 7,2 ile 7,5 arasında önem derecesi içeriyor. Bunların yarısı tüm modülleri, beşi Gelişmiş WAF ve ASM’yi ve biri de DNS modülünü etkilemekte.
| CVE / Hata ID | Önem | CVSS Derecesi | Etkilenen Ürünler | Etkilenen Versiyonlar | Sorunun Çözüldüğü Versiyon |
| CVE-2021-23025 | Yüksek | 7.2 | BIG-IP (Bütün modüller) | 15.0.0 – 15.1.0 14.1.0 – 14.1.3 13.1.0 – 13.1.3 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 16.0.0 15.1.0.5 14.1.3.1 13.1.3.5 |
| CVE-2021-23026 | Yüksek | 7.5 | BIG-IP (Bütün modüller) | 16.0.0 – 16.0.1 15.1.0 – 15.1.2 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | 16.1.0 16.0.1.2 15.1.3 14.1.4.2 13.1.4.1 |
| CVE-2021-23027 | Yüksek | 7.5 | BIG-IP (Bütün modüller) | 16.0.0 – 16.0.1 15.1.0 – 15.1.2 14.1.0 – 14.1.4 | 16.1.0 16.0.1.2 15.1.3.1 14.1.4.3 |
| CVE-2021-23028 | Yüksek | 7.5 | BIG-IP (Advanced WAF, ASM) | 16.0.0 – 16.0.1 15.1.0 – 15.1.3 14.1.0 – 14.1.4 13.1.0 – 13.1.3 | 16.1.0 16.0.1.2 15.1.3.1 14.1.4.2 13.1.4 |
| CVE-2021-23029 | Yüksek | 7.5 | BIG-IP (Advanced WAF, ASM) | 16.0.0 – 16.0.1 | 16.1.0 16.0.1.2 |
| CVE-2021-23030 | Yüksek | 7.5 | BIG-IP (Advanced WAF, ASM) | 16.0.0 – 16.0.1 15.1.0 – 15.1.3 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 | 16.1.0 16.0.1.2 15.1.3.1 14.1.4.3 13.1.4.1 |
| CVE-2021-23031 | Yüksek – Appliance Mod için Kritik | 8.8–9.9 | BIG-IP (Advanced WAF, ASM) | 16.0.0 – 16.0.1 15.1.0 – 15.1.2 14.1.0 – 14.1.4 13.1.0 – 13.1.3 12.1.0 – 12.1.5 11.6.1 – 11.6.5 | 16.1.0 16.0.1.2 15.1.3 14.1.4.1 13.1.4 12.1.6 11.6.5.3 |
| CVE-2021-23032 | Yüksek | 7.5 | BIG-IP (DNS) | 16.0.0 – 16.0.1 15.1.0 – 15.1.3 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 | 16.1.0 15.1.3.1 14.1.4.4 |
| CVE-2021-23033 | Yüksek | 7.5 | BIG-IP (Advanced WAF, ASM) | 16.0.0 – 16.0.1 15.1.0 – 15.1.3 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 | 16.1.0 15.1.3.1 14.1.4.3 13.1.4.1 |
| CVE-2021-23034 | Yüksek | 7.5 | BIG-IP (Bütün modüller) | 16.0.0 – 16.0.1 15.1.0 – 15.1.3 | 16.1.0 15.1.3.1 |
| CVE-2021-23035 | Yüksek | 7.5 | BIG-IP (Bütün modüller) | 14.1.0 – 14.1.4 | 14.1.4.4 |
| CVE-2021-23036 | Yüksek | 7.5 | BIG-IP (Advanced WAF, ASM, DataSafe) | 16.0.0 – 16.0.1 | 16.1.0 16.0.1.2 |
| CVE-2021-23037 | Yüksek | 7.5 | BIG-IP (Bütün modüller) | 16.0.0 – 16.1.0 15.1.0 – 15.1.3 14.1.0 – 14.1.4 13.1.0 – 13.1.4 12.1.0 – 12.1.6 11.6.1 – 11.6.5 | – |
Güncelleme yayınlanmış olan diğer güvenlik açıkları genelde daha az ciddi hatalar (orta ve düşük) içeriyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), F5’in yayınlamış olduğu rapor hakkında bir bildirim yayınlayarak kullanıcıları ve yöneticileri şirketten gelen bilgileri gözden geçirmeye, yazılım güncellemelerini yüklemeye veya gerekli tedbirleri uygulamaya davet etti.
Kaynak: bleepingcomputer.com
Diğer Haberler
Linux 30 Yaşında!
Microsoft, Windows 10 Update Sorunu İçin Güncelleme Yayınladı
Virgin Hyperloop Yeni Konsept Videosunu Yayınladı
