F5 Big-IP vulnerabile a bug di bypass di sicurezza.



L'appliance Big-IP Application Delivery Services di F5 Networks contiene una vulnerabilità di spoofing del Key Distribution Center (KDC)


In particolare, un utente malintenzionato potrebbe sfruttare CVE-2021-23008 con score 8.1, per aggirare la sicurezza Kerberos e accedere al Big-IP Access Policy Manager, secondo i ricercatori di Silverfort.


Kerberos è un protocollo di autenticazione di rete progettato per fornire un'autenticazione avanzata per applicazioni client / server. In alcuni casi, il bug può essere utilizzato anche per bypassare l'autenticazione alla console di amministrazione di Big-IP, hanno aggiunto.


In entrambi i casi, un criminale informatico potrebbe ottenere un accesso illimitato agli appliance di Big-IP, senza disporre delle credenziali legittime.


Il potenziale impatto potrebbe essere significativo: F5 fornisce i suoi prodotti alle reti aziendali di alcune delle più grandi aziende tecnologiche del mondo, tra cui Facebook, Microsoft e Oracle, nonché a un numero importante di società Fortune 500, tra cui alcune delle più grandi istituzioni finanziarie e ISP del mondo.



La vulnerabilità insiste specificamente in uno dei componenti software principali dell'appliance: Access Policy Manager (APM).


Questo componente gestisce e