به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت پازتیو تکنالجیز یک آسیبپذیری در رابط پیکربندی کنترلر تحویل نرمافزار BIG-IP، محصول شرکت F5، شناسایی کردند که مهاجمان با بهرهگیری از آن میتوانستند حمله منع سرویس انجام دهند.
این آسیبپذیری که با شناسه «CVE-2020-27716» شناخته میشود امتیاز 7.5 را به خود اختصاص داده است.
نیکیتا آبراموف، کارشناس شرکت مذکور در این خصوص اعلام کرد:
این آسیبپذیریها معمولاً در سورس کد مشاهده میشوند. آنها ممکن است به علت بیتوجهی توسعهدهندگان به وجود آیند، خصوصاً زمانی که بررسیهای تکمیلی وجود نداشته باشد. این آسیبپذیری در یک تجزیهوتحلیل باینری شناسایی شد. نقصهای مشابه را میتوان از طریق درخواست غیراستاندارد هنگام تحلیل منطق و اختلالات آن شناسایی کرد.
شرکت پازتیو تکنالجیز پیشتر نیز یک آسیبپذیری جدی در رابط کنترلر تحویل نرمافزار BIG-IP شناسایی کرده بود.
این آسیبپذیری بحرانی که با شناسه «CVE-2020-5902» شناخته میشد امتیاز 10 را از سیستم امتیازدهی CVSS کسب کرده بود.
مهاجمان با بهرهگیری از این آسیبپذیری میتوانستند از راه دور دستوراتی از طرف کاربر تأیید نشده اجرا کرده و ترافیک منابع وب را که توسط کنترلر کنترل میشود را هایجک کنند.
اواخر ماه ژوئن بیش از 8 هزار دستگاه آسیبپذیر در ایالاتمتحده آمریکا (40%)، چین (16%)، تایوان (3%) کانادا و اندونزی (2.5%) شناسایی شده است. در روسیه تجهیزات آسیبپذیر BIG-IP شناساییشده کمتر از 1 درصد بوده است.
هر دوی این آسیبپذیریها از سوی شرکت F5 برطرف شدهاند.
