F5 BIG-IP sistemlerindeki kritik güvenlik açığı, kimliği doğrulanmış yöneticilerin rasgele sistem komutlarını yürütmesine ve güvenlik sınırlarını etkili bir şekilde atlamasına izin veren keşfedilmiştir.
CVE-2025-31644 olarak tanımlanan komut enjeksiyon kusuru, cihaz modunda BIG-IP çalıştırmasının birden fazla sürümünü etkiler.
Deloitte’den güvenlik araştırmacısı Matei “Mal” Badanoiu sorunu sorumlu bir şekilde etkilenen sistemler için yamalar yayınlayan F5’e açıkladı.
.png
)
Güvenlik açığı CWE-78 olarak sınıflandırılmıştır: bir OS komutu enjeksiyonunda kullanılan özel elementlerin uygunsuz nötralizasyonu.
Teknik analiz, kusurun, kullanıcı girişlerini düzgün bir şekilde sterilize edemeyen açıklanmayan bir IControl Rest uç noktası ve BIG-IP TMOS kabuğu (TMSH) komutunda var olduğunu ortaya koymaktadır.
Kullanıldığında, bu güvenlik açığı, yönetici ayrıcalıklarına sahip kimliği doğrulanmış saldırganların keyfi gelişmiş kabuk (BASH) komutları yürütmesine ve önemli bir güvenlik bypass mekanizması oluşturmasına izin verir.
Güvenlik uzmanları, başarılı sömürünün saldırganların BIG-IP yönetim bağlantı noktası veya Self IP adresleri aracılığıyla dosya oluşturmalarını veya silmesini ve sistem komutlarını yürütmesini sağladığını belirtmektedir.
Bu, ciddi bir kontrol düzlemi güvenlik sorununu temsil eder, ancak F5 veri düzlemine maruz kalmadığını açıklar.
Güvenlik açığı, özellikle belirli lisanslama ile uygulanabilen veya tek tek sanal kümelenmiş çok işlemci (VCMP) konuk örneklerinde etkinleştirilebilen cihaz modunda çalışan BIG-IP sistemlerini hedefler.
Etkilenen sistemler ve şiddet derecelendirmeleri
F5, CVSS V3.1 skoru 8.7 ve CVSS V4.0 ile bu güvenlik açığına yüksek şiddet derecelendirmeleri atamıştır.
Güvenlik açığı, IDS 1778741, 1702565 ve 15832011 uyarınca F5 ürün geliştirme ile dahili olarak izlenmiştir.
Özellikle, F5’in değerlendirmesi, portföylerindeki diğer ürünlerin Big-IP Next, Big-IQ Merkezi Yönetim, F5 Dağıtılmış Bulut Hizmetleri, F5OS ve NGINX ürünleri de dahil olmak üzere savunmasız olmadığını doğrulamaktadır.
Bu etkilenmeyen ürünleri kullanan kuruluşlar, iyileştirme çabalarını savunmasız BIG-IP kurulumlarına odaklarken normal işlemleri sürdürebilir.
Önerilen azaltma stratejileri
F5, güvenlik açığını ele almak için yamalı versiyonlar yayınladı: 17.x şubesi için 17.1.2.2, 16.x şubesi için 16.1.6 ve 15.x şubesi için 15.1.10.7.
Güvenlik yöneticilerine, bu sabit sürümlere en erken fırsatlarıyla yükseltmeleri şiddetle tavsiye edilir.
Hemen güncelleyemeyen kuruluşlar için F5, birkaç geçici azaltma önlemi önermektedir.
Saldırı, kimliği doğrulanmış yönetici erişimi gerektirdiğinden, en etkili hafifletme sistem erişimini yalnızca tamamen güvenilir kullanıcılarla sınırlamaktır.
Ek teknik kontroller, bağlantı noktası kilitleme ayarlarını “Hiç izin vermeyecek” olarak değiştirerek ve SSH erişimi için benzer kısıtlamalar uygulayarak IControl Rest erişimini engellemeyi içerir.
Ağ yöneticileri, paket filtreleme işlevlerini kullanarak veya F5’in Bilgi Taban Makaleleri K46122561 ve K693540491’de ayrıntılı olarak açıklandığı gibi ağ güvenlik duvarı kurallarını uygulayarak yönetim arayüzü erişimini kısıtlayarak güvenliği daha da artırabilir.
Bu önlemler, yalnızca güvenilir ağlara ve cihazlara erişimi sınırlandırarak saldırı yüzeyini etkili bir şekilde azaltır.
Güvenlik ekipleri, bu hafifletme tekniklerinden bazılarının uygulanmasının yüksek kullanılabilirlik konfigürasyonlarını ve diğer hizmetleri etkileyebileceğini ve konuşlandırmadan önce dikkatli bir planlama gerektirebileceğini belirtmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!