• Accueil
  • Info
  • Publicité
  • Privacy & Policy
  • Nous Contacter
No Result
View All Result
Technique de pointe
  • Actualité
  • Technologies
  • Jeu vidéo
  • Mobile
  • Astuces
  • HTML5 / CSS
  • Java Script
  • PHP
  • Article Sponsorisé
  • Astuces
  • Jeu vidéo
  • Nous Contacter
MYCAMER
  • Actualité
  • Mobile
  • Jeu vidéo
    Top 5 des meilleurs jeux vidéo PC en Inde mis à jour

    Top 5 des meilleurs jeux vidéo PC en Inde mis à jour

    16 meilleures offres: jeux vidéo, équipement de plein air et technologie

    16 meilleures offres: jeux vidéo, équipement de plein air et technologie

    Le jeu – 8 conseils pour les survivants

    Le jeu – 8 conseils pour les survivants

    Meilleures actions de jeux vidéo à acheter en mai

    Meilleures actions de jeux vidéo à acheter en mai

    APERÇU : Jeu vidéo Escape Academy

    APERÇU : Jeu vidéo Escape Academy

    Un général à la retraite quatre étoiles pense que les séquences de jeux vidéo sont le conflit Ukraine-Russie

    Un général à la retraite quatre étoiles pense que les séquences de jeux vidéo sont le conflit Ukraine-Russie

    Une société de jeux vidéo gagne du terrain dans le centre-ville de Saint-Louis |  Entreprise locale

    Une société de jeux vidéo gagne du terrain dans le centre-ville de Saint-Louis | Entreprise locale

    Revue du jeu vidéo – Evil Dead: The Game

    Revue du jeu vidéo – Evil Dead: The Game

    La plus grosse bête de la musique de jeu vidéo: Bear McCreary expliqué

    La plus grosse bête de la musique de jeu vidéo: Bear McCreary expliqué

  • Developpement web
    • All
    • Language HTML5
    Apprenez JavaScript sans expérience de codage pour seulement 40 $

    Apprenez JavaScript sans expérience de codage pour seulement 40 $

    Manipulation des couleurs avec JavaScript |  Bonus HTML

    Manipulation des couleurs avec JavaScript | Bonus HTML

    Début d’un parcours de développement frontend – La nouvelle pile

    Début d’un parcours de développement frontend – La nouvelle pile

    Un homme condamné à plus de 25 ans de prison pour avoir volé un magasin de téléphones portables à Gunpoint |  USAO-NDTX

    L’ancien shérif de Norfolk condamné pour corruption publique | USAO-EDVA

    Crackle Plus de CSS Entertainment (CSSE) signe un accord pour lancer l’application Crackle sur les téléviseurs intelligents alimentés par Vewd

    Crackle de CSS Entertainment (CSSE) déploie une application gratuite mise à jour sur Fire TV

    OED et Urban League élargissent le programme de conception Web pour les petites entreprises et les étudiants issus de minorités

    OED et Urban League élargissent le programme de conception Web pour les petites entreprises et les étudiants issus de minorités

    Nicolas Birkel |  Avis de décès |  columbustelegram.com

    Nicolas Birkel | Avis de décès | columbustelegram.com

    Résistance à la fatigue des alliages Al-Si imprimés en 3D

    Résistance à la fatigue des alliages Al-Si imprimés en 3D

    Créez et déployez votre premier tableau de bord en temps réel avec Streamlit

    Créez et déployez votre premier tableau de bord en temps réel avec Streamlit

  • Astuces
    Jacob Nicotra, fondateur et PDG de Jacob Nicotra Web Development, a été présenté dans le magazine Authority

    Jacob Nicotra, fondateur et PDG de Jacob Nicotra Web Development, a été présenté dans le magazine Authority

    Revue Squarespace 2022 : fonctionnalités, prix et plus

    Which is Better in 2022?

    Set Up Your Store in 7 Steps

    Set Up Your Store in 7 Steps

    Revue Squarespace 2022 : fonctionnalités, prix et plus

    SiteGround Review 2022 : fonctionnalités, prix et plus

    Revue Squarespace 2022 : fonctionnalités, prix et plus

    Revue Squarespace 2022 : fonctionnalités, prix et plus

    Comment commencer à tester votre code WordPress avec le framework de test PHP Pest – WP Tavern

    Comment commencer à tester votre code WordPress avec le framework de test PHP Pest – WP Tavern

    Membership website builders vs membership platforms: What’s the difference?

    WordPress membership websites vs closed membership platforms: Which is better?

    Vulnérabilité d’exécution de code à distance du plugin WordPress Elementor

    Vulnérabilité d’exécution de code à distance du plugin WordPress Elementor

    Étapes pour installer MySQL sur Ubuntu 22.04 LTS Jammy Linux

    Étapes pour installer MySQL sur Ubuntu 22.04 LTS Jammy Linux

  • Nous contacter
No Result
View All Result
MYCAMER
No Result
View All Result
Home Developpement web Language HTML5

Les pirates exploitent activement la vulnérabilité BIG-IP avec un indice de gravité de 9,8

Caleb by Caleb
mai 10, 2022
in Language HTML5
0 0
0
Les pirates exploitent activement la vulnérabilité BIG-IP avec un indice de gravité de 9,8
332
SHARES
2k
VIEWS
Share on FacebookShare on TwitterRedditLinkedin


Les pirates exploitent activement la vulnérabilité BIG-IP avec un indice de gravité de 9,8

Les chercheurs s’émerveillent devant la portée et l’ampleur d’une vulnérabilité que les pirates exploitent activement pour prendre le contrôle total des périphériques réseau qui fonctionnent sur certains des réseaux les plus grands et les plus sensibles au monde.

La vulnérabilité, qui porte un indice de gravité de 9,8 sur 10 possibles, affecte le BIG-IP de F5, une gamme d’appliances que les organisations utilisent comme équilibreurs de charge, pare-feu et pour l’inspection et le cryptage des données entrant et sortant des réseaux. Il existe plus de 16 000 instances de l’équipement détectable en ligne, et F5 dit il est utilisé par 48 des Fortune 50. Compte tenu de la proximité de BIG-IP avec les bords du réseau et de leurs fonctions en tant qu’appareils qui gèrent le trafic pour les serveurs Web, ils sont souvent en mesure de voir le contenu décrypté du trafic protégé par HTTPS.

La semaine dernière, F5 divulgué et corrigé une vulnérabilité BIG-IP que les pirates peuvent exploiter pour exécuter des commandes qui s’exécutent avec les privilèges du système root. La menace provient d’une mise en œuvre défectueuse de l’authentification du iControl REPOSun ensemble d’interfaces de programmation Web pour configuration et gestion Appareils BIG-IP.

“Ce problème permet aux attaquants ayant accès à l’interface de gestion de se faire passer pour un administrateur en raison d’une faille dans la mise en œuvre de l’authentification”, a déclaré Aaron Portnoy, directeur de la recherche et du développement de la société de sécurité Randori, dans un message direct. “Une fois que vous êtes administrateur, vous pouvez interagir avec tous les points de terminaison fournis par l’application, y compris exécuter du code.”

Publicité

Les images flottant sur Twitter au cours des dernières 24 heures montrent comment les pirates peuvent utiliser l’exploit pour accéder à un point de terminaison d’application F5 nommé bash. Sa fonction est de fournir une interface pour exécuter l’entrée fournie par l’utilisateur en tant que commande bash avec les privilèges root.

Alors que de nombreuses images montrent un code d’exploit fournissant un mot de passe pour exécuter des commandes, les exploits fonctionnent également lorsque aucun mot de passe n’est fourni. L’image a rapidement attiré l’attention des chercheurs qui se sont émerveillés de la puissance d’un exploit permettant l’exécution de commandes root sans mot de passe. En plaisantant à moitié, certains ont demandé comment une fonctionnalité aussi puissante aurait pu être si mal verrouillée.

Résumer:
– Le point de terminaison /mgmt/tm/util/bash est une fonctionnalité qui a été jugée nécessaire
– Aucune authentification n’est requise pour ce terminal
– Le serveur Web s’exécute en tant que root

Example of the Title

Example description. Lorem Ipsum is simply dummy text of the printing and type..

Et tout cela a passé les contrôles de santé mentale à F5 et le produit a été expédié pour $$$$
Est-ce que je manque quelque chose? pic.twitter.com/W55w0vMTAI

– Will Dormann (@wdormann) 9 mai 2022

Je ne suis pas entièrement convaincu que ce code n’a pas été planté par un développeur effectuant de l’espionnage d’entreprise pour une entreprise de réponse aux incidents comme une sorte de système de garantie de revenus.

Si oui, brillant. Sinon, WTAF… https://t.co/4F237teFa2

– Jake Williams (@MalwareJake) 9 mai 2022

Ailleurs sur Twitter, les chercheurs ont partagé le code d’exploitation et ont signalé avoir vu des exploits dans la nature qui laissaient tomber des webshells de porte dérobée que les acteurs de la menace pourraient utiliser pour garder le contrôle sur les appareils BIG-IP piratés même après qu’ils aient été corrigés. Une telle attaque a montré que les acteurs de la menace des adresses 216.162.206.213 et 209.127.252.207 déposaient une charge utile dans le chemin du fichier /tmp/f5.sh pour installer le webshell basé sur PHP dans /usr/local/www/xui/common/css/. Dès lors, l’appareil est backdoor.

🚨 J’essaie d’exploiter la plus grande exploitation de F5 BIG-IP CVE-2022-1388 (RCE), installé #Webshell en /usr/local/www/xui/common/css/ como backdoor para mantener el acceso.

Attaqués par :
216.162.206.213
209.127.252.207

Payload escribe en /tmp/f5.sh, ejecuta y elimina. pic.twitter.com/W9BlpYTUEU

— Germán Fernández (@1ZRR4H) 9 mai 2022

La gravité de CVE-2022-1388 a été évaluée à 9,8 la semaine dernière avant que de nombreux détails ne soient disponibles. Maintenant que la facilité, la puissance et la grande disponibilité des exploits sont mieux comprises, les risques deviennent de plus en plus urgents. Les organisations qui utilisent des équipements BIG-IP doivent donner la priorité à l’investigation de cette vulnérabilité et à la correction ou à l’atténuation de tout risque qui survient. Randori a fourni une analyse détaillée de la vulnérabilité et un script bash d’une ligne ici que les utilisateurs de BIG-IP peuvent utiliser pour vérifier l’exploitabilité. F5 a des conseils et des conseils supplémentaires ici.



— to arstechnica.com

Get real time update about this post categories directly on your device, subscribe now.

Unsubscribe
Caleb

Caleb

Stay Connected

  • 81.7k Followers
  • 113k Subscribers

Articles populaires

  • 10 problèmes courants de l’iPhone 13 et comment les résoudre

    10 problèmes courants de l’iPhone 13 et comment les résoudre

    3525 shares
    Share 1410 Tweet 881
  • Comment installer phpMyAdmin sur Debian 11 Bullseye (Apache)

    879 shares
    Share 352 Tweet 220
  • Battle.net s’est remis d’une attaque DDoS, selon Blizzard

    492 shares
    Share 197 Tweet 123
  • 2 façons d’installer le serveur LAMP sur Ubuntu 22.04 | 20.04

    397 shares
    Share 159 Tweet 99
  • Avantages et inconvénients des concepteurs et créateurs de jeux vidéo

    519 shares
    Share 208 Tweet 130

Follow Our Page

Ajouter votre lien ici

Example of the Title

Follow Us

    Go to the Customizer > JNews : Social, Like & View > Instagram Feed Setting, to connect your Instagram account.
Facebook Twitter Youtube Vimeo Instagram

We bring you the best Premium WordPress Themes that perfect for news, magazine, personal blog, etc. Check our landing page for details.

Category

  • Actualité
  • Article Sponsorisé
  • Astuces
  • Jeu vidéo
  • Language HTML5
  • Mobile
  • portrait
  • Technologies

Recent News

Critique de Two Palestinians Go Dogging – un portrait humain dévastateur du conflit se grave dans l’esprit | Théâtre

mai 23, 2022
Siasat propose des cours gratuits à partir du 23 mai

Siasat propose des cours gratuits à partir du 23 mai

mai 23, 2022

© 2022 JNews - Premium WordPress news & magazine theme by Jegtheme.

No Result
View All Result
  • Actualité
  • Mobile
  • Jeu vidéo
  • Developpement web
  • Astuces
  • Nous contacter

© 2022 JNews - Premium WordPress news & magazine theme by Jegtheme.

Welcome Back!

Sign In with Facebook
Sign In with Google
OR

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In
fr French
ar Arabiczh-CN Chinese (Simplified)en Englishfr Frenchde Germanit Italianru Russianes Spanish

Add New Playlist

This website uses cookies. By continuing to use this website you are giving consent to cookies being used. Visit our Privacy and Cookie Policy.