F5, BIG-IP cihazlarını etkileyen ve hizmet reddine (DoS) veya rastgele kod yürütülmesine yol açabilecek yüksek önem dereceli bir kusur konusunda uyarıda bulundu.
Sorun, iControl Basit Nesne Erişim Protokolü (SOAP) arayüzünden kaynaklanmaktadır ve aşağıdaki BIG-IP sürümlerini etkilemektedir –
- 13.1.5
- 14.1.4.6 – 14.1.5
- 15.1.5.1 – 15.1.8
- 16.1.2.2 – 16.1.3 ve
- 17.0.0
Şirket bir danışma belgesinde, “iControl SOAP’ta, kimliği doğrulanmış bir saldırganın iControl SOAP CGI sürecini çökertmesine veya potansiyel olarak rastgele kod yürütmesine izin veren bir biçim dizisi güvenlik açığı bulunmaktadır.” “BIG-IP cihaz modunda, bu güvenlik açığından başarılı bir şekilde yararlanılması, saldırganın bir güvenlik sınırını geçmesine izin verebilir.”
CVE-2023-22374 (CVSS puanı: 7,5/8,5) olarak izlenen Rapid7’den güvenlik araştırmacısı Ron Bowes, 6 Aralık 2022’de kusuru keşfedip bildirdiği için kredilendirildi.
iCONtrol SOAP arabiriminin kök olarak çalıştığı göz önüne alındığında, başarılı bir istismar, bir tehdit aktörünün kök kullanıcı olarak cihazda uzaktan kod yürütmeyi tetiklemesine izin verebilir. Bowes, bunun, syslog adlı bir günlüğe kaydetme işlevine iletilen bir sorgu parametresine rasgele biçim dize karakterleri ekleyerek elde edilebileceğini söyledi.
F5, BIG-IP’nin desteklenen sürümleri için kullanılabilen bir mühendislik düzeltmesinde sorunu ele aldığını kaydetti. Geçici bir çözüm olarak şirket, kullanıcıların iControl SOAP API’ye erişimi yalnızca güvenilen kullanıcılarla kısıtlamasını önermektedir.
Cisco, Cisco IOx’ta Komut Enjeksiyon Hatasını Düzeltiyor
Açıklama, Cisco’nun Cisco IOx uygulama barındırma ortamındaki (CVE-2023-20076, CVSS puanı: 7.2) bir kusuru gidermek için yayınladığı güncellemeler sırasında gelir; işletim sistemi.
Güvenlik açığı, Cisco IOS XE Yazılımı çalıştıran ve Cisco IOx özelliğinin etkinleştirildiği cihazların yanı sıra 800 Serisi Endüstriyel ISR’ler, Catalyst Erişim Noktaları, CGR1000 Bilgi İşlem Modülleri, IC3000 Endüstriyel Bilgi İşlem Ağ Geçitleri, IR510 WPAN Endüstriyel Yönlendiricileri etkiler.
Sorunu tespit eden siber güvenlik firması Trellix, sistemin yeniden başlatılmasına ve ürün yazılımı yükseltmelerine devam edebilecek şekilde kötü amaçlı paketler enjekte etmek için silah haline getirilebileceğini ve bunların yalnızca fabrika ayarlarına sıfırlandıktan sonra kaldırılabileceğini söyledi.
“Kötü bir aktör, CVE-2023-20076’yı bu tedarik zinciri boyunca herhangi bir yerde etkilenen Cisco cihazlarından birini kurcalamak için kullanabilir.” “CVE-2023-20076’nın sağladığı erişim düzeyi, arka kapıların kurulmasına ve gizlenmesine izin vererek kurcalamayı son kullanıcı için tamamen şeffaf hale getirebilir.”
İstismar, saldırganın kimliğinin doğrulanmasını ve yönetici ayrıcalıklarına sahip olmasını gerektirse de, saldırganların kimlik avı veya kullanıcıların varsayılan kimlik bilgilerini değiştirememiş olma ihtimalini hesaba katarak ayrıcalıkları yükseltmek için çeşitli yollar bulabileceğini belirtmekte fayda var.
Ayrıca Trellix tarafından keşfedilen, TAR arşivi çıkarma işlemi sırasında bir saldırganın temeldeki ana bilgisayar işletim sistemine kök kullanıcı olarak yazmasına izin verebilecek bir güvenlik kontrolü atlamasıdır.
O zamandan beri kusuru düzelten ağ ekipmanı uzmanı, “kod, gelecekteki uygulama paketleme desteği için oraya konduğu için” güvenlik açığının acil bir risk oluşturmadığını söyledi.