0xNews - F5 Big-IP / Big-IQ 에서 심각한 취약점 발견
0xNews - F5 Big-IP / Big-IQ 에서 심각한 취약점 발견
F5 보안 업데이트 발표
https://support.f5.com/csp/article/K02566623
CVE-2021-22986 / CVSS 9.8
CVE-2021-22987 / CVSS 9.9
CVE-2021-22988 / CVSS 8.8
CVE-2021-22989 / CVSS 8.0
CVE-2021-22990 / CVSS 6.6
CVE-2021-22991 / CVSS 9.0
CVE-2021-22992 / CVSS 9.0
등 총 7개 취약점 지정
이 중 2개는 2020년 12월 Google Project Zero 에 의해 발견 후 보고
https://bugs.chromium.org/p/project-zero/issues/detail?id=2126
https://bugs.chromium.org/p/project-zero/issues/detail?id=2132
이번 취약점을 성공적으로 악용한다면
원격 코드 실행 RCE 가능
버퍼 오버 플로 buffer overflow 유발을 통한 DoS 공격 유발 가능
F5 Network 제품 중 다음 제품의 버전 업데이트 권고
Big-IP 버전
11.6.5.3
12.1.5.3
13.1.3.6
14.1.4
15.1.2.1
16.0.1.1
Big-IQ 버전
7.0.0.2
7.1.0.3
8.0.0
F5 Network Big-IP 소프트웨어는 2020년 7월 회사에서 심각한 취약점에 대해 업데이트를 통해 문제 해결
미국 CISA Cybersecurity and Infrastructure Security Agency 에서는 취약점 보안에 대한 업데이트 전 문제가 발생하지 않기 위해 경고 발령
https://us-cert.cisa.gov/ncas/alerts/aa20-206a
일부 전문가는 Big-IP 기기 내부의 문제로 인해 발생된 것으로도 의심
https://twitter.com/pwnallthethings/status/1369682528982999048
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.