10 из 10
Cегодня будет короткая, но, по-своему удивительная, история.
Есть такая большая международная корпорация F5, которая занимается решениями в области балансировки нагрузки на сетевые ресурсы, ускорением сайтов, безопасностью веб-приложений и, в частности, защитой от DDoS-атак.
Одним из продуктов компании является программно-аппаратный комплекс BIG-IP, включающий в себя большое количество модулей с самым разнообразным функционалом (балансировка нагрузки, межсетевые экраны, хэширование трафика и т.д.).
Разработки компании F5 настолько надёжны, что из первых 50 самых уважаемых компаний мира (по версии журнала Fortune) 48 пользуются решениями F5.
Надо ли говорить, что обнаруженная специалистами из Positive Technologies уязвимость навела шухеру в профессиональной среде. Был найден баг, который предоставляет злоумышленнику возможность получить фактически административный доступ внутри сети вообще не авторизуясь. Учитывая такую ошеломительную “фишку”, простоту реализации, наличие готовых шаблонов, которые очень быстро разошлись по сети Интернет, уязвимости был присвоен рейтинг 10 из 10 по шкале CVSSv3.
На данный момент, F5 уже залатали дыру. Рекомендуется срочно обновить обновить версию BIG-IP.
По итогу, могу сказать, что эта история в очередной раз учит нас, что безопасность — это процесс. Нельзя разработать мощное средство защиты и успокоиться, думая, что оно абсолютно надёжно. Даже монстры рынка ИБ могут оказаться обезоружены смекалкой умелого взломщика.