F5 Networks, BIG-IP uygulamalarını hizmet reddine ve olası sistem komut yürütmesine maruz bırakan bir hata için bir düzeltme üzerinde çalışıyor.
13’ten 17’ye kadar BIG-IP yazılım dallarında savunmasız sürümler vardır.
Hata, hedef ortam hakkında bilgisi olan bir saldırganın iControl SOAP sürecini çökertebileceği anlamına gelir.
iControl SOAP, harici yazılımın temeldeki ağ ile etkileşim kurmasını sağlayan bir API’dir.
Saldırganın, BIG-IP yönetim bağlantı noktası ve/veya “kendi IP adresi” (cihaza VLAN erişimi) aracılığıyla işleme ağ erişimi varsa, işlemi çökertebilir.
F5, BIG-IP birimi cihaz modunda çalışıyorsa, başarılı bir istismarın saldırganın bir güvenlik sınırını geçmesine izin verdiğini söyledi.
Bununla birlikte, danışma belgesi, “veri düzlemi ifşası olmadığını” vurguladı. Bu yalnızca bir kontrol uçağı sorunudur.”
Güvenlik açığını keşfeden Rapid7, bunun bir format string güvenlik açığı olduğunu söyledi.
Rapid7, “Bir saldırgan, belirli GET parametrelerine biçim dizesi belirleyicileri (%s veya %n gibi) ekleyerek, hizmetin yığından başvurulan bellek adreslerini okumasına ve yazmasına neden olabilir” diye yazdı.
Hata, yalnızca kimliği doğrulanmış bir saldırgan tarafından kötüye kullanılabileceğinden, kritik değil, yüksek önem derecesi (cihaz modunda CVCSS puanı 7,5 veya 8,5) olarak derecelendirilmiştir.