Βελτιώσεις ασφαλείας σε Big-IP και nginx: Νέες ενημερώσεις διαχειριστικών ευπαθειών

Σε μια ενεργητική στάση για την ψηφιακή ασφάλεια, η F5 Networks πρόσφατα περιέγραψε σχεδόν δύο δεκάδες ευπάθειες που είχαν ενσωματωθεί διακριτικά τόσο στη γραμμή προϊόντων

του

Big-IP όσο και στο web server nginx. Αυτή η συλλογή ευπαθειών κάλυπτε μια σειρά διαφόρων σοβαροτήτων, με βαθμολόγηση από 3.8 έως 8.7 στο Common Vulnerability Scoring System (CVSS), που υποδεικνύει ρίσκα από χαμηλά έως υψηλά.

Η πιο κρίσιμη ευπάθεια βρέθηκε στη διεπαφή iControl Rest του Big-IP – ένα σημείο αυτοματισμού που θα μπορούσε να εκμεταλλευτεί. Με διαχειριστική πρόσβαση, οι απειλές ήταν σε θέση να εισάγουν εντολές bash για να διακυβεύσουν τον φορτωτή ισορροπίας. Οι εκδόσεις 15.1.0 έως 15.1.8, 16.1.0 έως 16.1.3 και 17.1.0 του Big-IP ήταν ευάλωτες σε αυτήν την υψηλής σοβαρότητας παραβίαση, που αναγνωρίστηκε από το CVE-

2024

-22093. Ωστόσο, οι επόμενες ενημερωμένες εκδόσεις διόρθωσαν αυτό το συγκεκριμένο θέμα.

Επιπλέον

, περίπου είκοσι άλλα μικρότερα θέματα αντιμετωπίστηκαν από τους προγραμματιστές της F5, κυρίως στο πλαίσιο του Advanced WAF και του Advanced Firewall Manager (AFM).

Στην περίπτωση του nginx, που έγινε μέρος του χαρτοφυλακίου της F5 περίπου πέντε χρόνια πριν, δύο ευπάθειες ασφαλείας προκάλεσαν προβληματισμό καθώς επηρέαζαν την επεξεργασία HTTP/3 QUIC. Αυτές οι ευπάθειες, που καταγράφηκαν ως CVE-2024-24989 και CVE-2024-24990, συνδέονταν με κίνδυνο απορρίψεων υπηρεσίας που θα μπορούσαν να εκμεταλλευτούνται για να ανατρέψουν το σύστημα. Η κοινότητα του ανοικτού κώδικα του nginx αναγνώρισε αυτά τα θέματα ξεκινώντας από την έκδοση 1.25.0, τα οποία επιλύθηκαν στην έκδοση 1.25.4Για το nginx plus, οι εκδόσεις R31 P1 και R30 P2 διόρθωσαν αυτές τις ευπάθειες.

Αυτός ο κύκλος ενημερώσεων συνέπεσε με διαπραγματεύσεις εντός της ομάδας του nginx. Μετά από ένα χρονικό διάστημα ανικανοποίησης με την εποπτεία της F5 στο nginx, ένας από τους κύριους προγραμματιστές ανακοίνωσε ένα δικό του “νεύρο” του έργου, με σκοπό να το απελευθερώσει από το που αντιλαμβάνεται ως επιχειρηματική αυθαιρεσία. Το αποτέλεσμα ήταν το “freenginx”, μια πρωτοβουλία που επαναβεβαιώνει τη δέσμευση της κοινότητας του ανοικτού κώδικα για τη διατήρηση της γνωστής ευελιξίας και ελευθερίας του λογισμικού.

Συχνές ερωτήσεις:

Για ποιες πρόσφατες ανακαλύψεις ασφαλείας πληροφόρησε η F5 Networks;

Η F5 Networks αποκάλυψε σχεδόν δύο δεκάδες ευπάθειες που επηρεάζουν τη γραμμή προϊόντων Big-IP και τον web server nginx. Αυτές οι ευπάθειες κυμαίνονταν σε σοβαρότητα και αναγνωρίστηκαν ως πιθανοί κίνδυνοι για την ασφάλεια.

Ποια είναι η σημασία της ευπάθειας της διεπαφής iControl Rest;

Η ευπάθεια της διεπαφής iControl Rest του Big-IP ήταν κρίσιμη και, αν εκμεταλλευτόταν, μπορούσε να επιτρέψει στις απειλές να εισάγουν εντολές bash και να διακυβεύσουν τον φορτωτή ισορροπίας. Αυτή η ευπάθεια ήταν ιδιαίτερα ανησυχητική λόγω του επιπέδου πρόσβασης που παρείχε.

Ποιες εκδόσεις του Big-IP επηρεάστηκαν από αυτήν την κρίσιμη ευπάθεια;

Οι επηρεασμένες εκδόσεις του Big-IP περιλάμβαναν τις εκδόσεις 15.1.0 έως 15.1.8, 16.1.0 έως 16.1.3 και 17.1.0. Οι ενημερωμένες εκδόσεις του Big-IP έχουν αποκαταστήσει αυτό το θέμα.

Πόσο σημαντικές ήταν οι ευπάθειες του nginx που ανακοινώθηκαν;

Εντοπίστηκαν δύο ευπάθειες στο nginx που σχετίζονταν με την επεξεργασία HTTP/3 QUIC. Αυτές οι ευπάθειες, που περιγράφονται ως CVE-2024-24989 και CVE-2024-24990, συνδέονταν με κινδύνους από υπηρεσία αρνησης.

Πώς αντέδρασε η κοινότητα του nginx στις ανακοινωθείσες ευπαθείες;

Η κοινότητα του ανοικτού κώδικα του nginx αναγνώρισε και αντιμετώπισε αυτά τα ζητήματα ξεκινώντας από την έκδοση 1.25.0, ενώ οι επιδιορθώσεις ήρθαν με την έκδοση 1.25.4για το nginx και τις εκδόσεις R31 P1 και R30 P2 για το nginx plus.

Ποιές εσωτερικές τάσεις έχουν αναφερθεί εντός της ομάδας ανάπτυξης του nginx;

Οι εντάσεις προέκυψαν λόγω της ανικανοποίησης με την εποπτεία της F5 στο nginx, με αποτέλεσμα ένας κύριος προγραμματιστής να ανακοινώσει μια απόχωρηση του έργου με το όνομα “freenginx”, το οποίο επιδιώκει να διατηρήσει την αρχική ανεξαρτησία και φιλοσοφία του ανοικτού κώδικα.

Ορισμοί:

– Common Vulnerability Scoring System (CVSS): Ένα προτυποποιημένο πλαίσιο για την αξιολόγηση της σοβαρότητας ευπαθειών ασφάλειας.

– Bash: Ένα κέλυφος Unix και γλώσσα εντολών που χρησιμοποιείται για την εκτέλεση εντολών.

– Φορτωτής ισορροπίας: Ένα συσκευή ή

λογισμικό

που κατανέμει την κίνηση δικτύου ή εφαρμογών σε έναν αριθμό διακομιστών για τη βελτίωση της διαθεσιμότητας και αξιοπιστίας.

– CVE (Common Vulnerabilities and Exposures): Μια λίστα δημοσιοποιημένων ευπαθειών και εκθέσεων κυβερνοασφάλειας που καταλογίζονται με μοναδικό αναγνωριστικό.

– Απόρριψη υπηρεσίας: Τύπος

κυβερνοεπίθεση

ς που στοχεύει στο να καταστήσει μια μηχανή ή πόρο δικτύου μη διαθέσιμο για τους αναμενόμενους χρήστες του.

– Fork (διαχωρισμός): Στην ανάπτυξη λογισμικού, η δημιουργία ενός ξεχωριστού αντιγράφου ενός έργου για να αναπτυχθεί ανεξάρτητα από το αρχικό έργο.

– HTTP/3 QUIC: Ένα νέο πρωτόκολλο μεταφοράς δικτύου που σχεδιάστηκε για να βελτιώσει τα υπάρχοντα πρότυπα HTTP μείωντας τις καθυστερήσεις σύνδεσης και μεταφοράς.

Προτεινόμενοι σχετικοί σύνδεσμοι:

– Για πληροφορίες σχετικά με την F5 Networks, επισκεφθείτε το F5.com.

– Για να μάθετε περισσότερα για τα προϊόντα Big-IP, τα χαρακτηριστικά τους και τις ενημερώσεις ασφαλείας, επισκεφθείτε το BigIP.com (Σημείωση: Αυτό το URL υποθέτει ότι το BigIP.com είναι ο επίσημος ιστότοπος για τη γραμμή προϊόντων Big-IPΠαρακαλούμε επιβεβαιώστε την

ισχύ του URL πριν τη χρήση).

– Για το nginx και ενημερώσεις σχετικά με την ανάπτυξή του, ελέγξτε το NGINX.com.

– Για λεπτομέρειες σχετικά με την κοινότητα ανοικτού κώδικα και πρωτοβουλίες όπως το freenginx, επισκεφθείτε το OpenSource.org (Σημείωση: Επιβεβαιώστε ότι αυτή είναι η επίσημη ιστοσελίδα που σχετίζεται με την κοινότητα ανοικτού κώδικα).