IBM Flashsystem

พบช่องโหว่ร้ายแรงบน F5 Big-ip หน่วยงาน CISA ประกาศเตือนรีบอัปเดต

F5 BIG-IP ถือเป็นอุปกรณ์ระดับองค์กรอยู่แล้ว ดังนั้นช่องโหว่ร้ายแรงประเภทลอบรันโค้ด (RCE) ถือเป็นสิ่งที่ควรจะถูกปิดอย่างไวที่สุด

ช่องโหว่อันตรายนี้มีหมายเลข CVE-2022-1388 ซึ่งเกิดขึ้นที่ iControl REST ทำให้คนร้ายสามารถ Bypass การพิสูจน์ตัวตนได้ อย่างที่กล่าวไปแล้วว่าอุปกรณ์ F5 BIG-IP มักอยู่ในระบบขององค์กรใหญ่ๆทั่วโลก ทำให้ CISA ต้องออกเตือนเร่งด่วนถึงช่องโหว่นี้แล้ว

สำหรับช่องโหว่ส่งผลกระทบกับ BIG-IP เวอร์ชันต่างๆดังตารางด้านล่างนี้ โดยผู้ใช้งานเวอร์ชัน 11.x และ 12.x จะไม่ได้รับการแก้ไข หากท่านใดที่ไม่สามารถอัปเดตได้ทันทีมีวิธีบรรเทาปัญหาได้ 3 ช่องทางคือ

1.) บล็อกการเข้าถึงอินเทอร์เฟส iControl REST บน BIG-IP ผ่านทาง Self IP แต่วิธีการนี้อาจกระทบกับการทำ HA 

2.) จำกัดการเข้าถึงจากผู้ใช้หรืออุปกรณ์ที่เชื่อน่าเชื่อถือ 

3.) แก้ไขคอนฟิคใน httpd 

credit : Bleepingcomputer

วาระเดียวกันนี้ F5 ยังได้เผยถึงช่องโหว่ร้ายแรงอื่นๆกว่า 17 รายการในเว็บไซต์ของตนตรวจสอบได้ที่ https://support.f5.com/csp/article/K55879220

ที่มา : https://www.bleepingcomputer.com/news/security/f5-warns-of-critical-big-ip-rce-bug-allowing-device-takeover/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ปลดล็อกทุกขีดจำกัดของข้อมูล Hybrid Multicloud ด้วยสถาปัตยกรรมใหม่จาก Nutanix AOS

แผนของ Hybrid Multicloud ในทางปฏิบัตินั้นยังมีความท้าทายอยู่ไม่น้อย ในประเด็นด้านการบูรณาการของเครื่องมือและข้อมูล โดยการออกแบบแอปพลิเคชันสมัยใหม่ควรให้ความสำคัญในเรื่องของ Cloud native ที่ถูกบริหารจัดการด้วย Kubernetes แต่ในชีวิตจริงการย้ายข้อมูลข้ามไปยังคลาวด์หรือ On-premise ไม่ใช่เรื่องที่ง่ายเช่นนั้น เพราะขาดซึ่งแพลตฟอร์มข้อมูลกลางที่ยึดโยงข้อมูลเข้ากับแอปพลิเคชันอย่างแท้จริง นั่นจึงนำไปสู่การเปิดตัวสถาปัตยกรรมด้านสตอเรจใหม่จาก …

รู้จัก SAP Joule: พาองค์กรก้าวสู่ยุค AI อย่างมั่นใจด้วยบริการผสาน ERP เข้ากับ AI โดย NDBS Thailand

ท่ามกลางกระแสความนิยมของการใช้ AI ในธุรกิจ การเชื่อมต่อ AI เข้ากับข้อมูลธุรกิจเพื่อให้ AI สามารถตอบสนองต่อการทำงานในรูปแบบต่างๆ ได้อย่างชาญฉลาดยิ่งขึ้นได้กลายเป็นโครงการที่ธุรกิจองค์กรหลายแห่งมองหา เนื่องจากเป็นโครงการด้าน AI ที่สามารถสร้างคุณค่าและเป็นก้าวแรกในการเปลี่ยนวัฒนธรรมองค์กรสู่ AI-Driven Business ได้อย่างรวดเร็ว