F5 آسیب پذیری پرخطر کنترل کننده NGINX را به عنوان آخرین patch ماه ژانویه وصله کرد

فروشنده فناوری شبکه و تحویل برنامه F5 یک جفت آسیب‌پذیری مرتبط با امنیت شبکه  با تأثیر بالا را برطرف کرده است.

مورد خطرناک‌تر، یک RCE (تزریق کد از راه دور) بود. این آسیب‌پذیری فناوری مدیریت API کنترل کننده NGINX F5 را به خطر می‌اندازد و به تیم‌های DevOps اجازه می‌دهد تا «APIها را تعریف، منتشر، ایمن، بر آن‌ها نظارت و آن‌ها را تجزیه و تحلیل کنند».

F5 شرح می‌دهد: «یک مهاجم احراز هویت شده دارای دسترسی به نقش “کاربر” یا “مدیر” قادر است از endpointهای API افشا نشده در کنترلر مدیریت API NGINX، برای تزریق کد JavaScript استفاده کند. این اسکریپت‌های تزریق شده در نمونه صفحات داده (بخشی از یک شبکه که ترافیک کاربر را حمل می کند) مدیریت شده NGINX اجرا می‌شوند.»

این آسیب‌پذیری که ‌عنوان CVE-2022-23008 به خود گرفته است، دارای امتیاز CVSS 8.7 می‌باشد که آن را به ‌عنوان خطرناک‌ترین نقص در جدیدترین پچ F5 نشان می‌دهد.

اکسپلویت موفقیت‌آمیز این نقص به مهاجم اجازه می‌دهد تا فایل ها را در نمونه صفحه اطلاعات NGINX بخواند و یا بنویسد. این آسیب‌پذیری به صورت داخلی توسط F5 کشف شد.

به کاربران توصیه شده است که به نسخه ۳.۱۹.۱ ارتقا دهند.

متعادل کننده بار  BIG-IP

همچنین نکته قابل توجه، یک آسیب‌پذیری DOM-based XSS است که بر روی متعادل کننده بار BIG-IP F5 است. آسیب‌پذیری CVE-2022-23013 در ابزار پیکربندی BIG-IP به مهاجم اجازه می‌دهد تا جاوا اسکریپت را به عنوان کاربر وارد شده اجرا کند.

این نقص امتیاز ۷.۵ CVSS را کسب می‌کند که آن را در رده‌ی تهدیدات با شدت بالا مشخص می‌کند. این مشکل نیز به صورت داخلی توسط مهندسان F5 یافت شد.

آخرین وصله سه‌ماهه F5 در مجموع به ۱۵ آسیب‌پذیری با شدت “بالا”، ۹ نقص با ریسک “متوسط” و یک مورد  با شدت “کم” می‌پردازد. بسیاری از ایرادات مربوط به مدیریت حافظه یا خطرات خرابی سیستم (انکار سرویس) هستند.

خلاصه کامل محتوای وصله‌ها، که چهارشنبه گذشته (۱۹ ژانویه) منتشر شد، همراه با توصیه‌های اصلاحی پیشنهادی را می‌توان در مشاوره امنیتی مربوط به F5 مشاهده کرد.

اخبار آسیب‌پذیری‌ها را از سایت آپا دنبال کنید.