F5/NGINX hefur gefið út tilkynningu um veikleika í nginx-ldap-auth sem eru til staðar ef fylgt er viðmiðum frá NGINX um uppsetningu (e. reference implementation) [1].
Veikleikann er eingöngu hægt að misnota ef fylgt er viðmiðunarleiðbeiningum frá NGINX um uppsetninguna [2]. Veikleikinn er ekki til staðar í hugbúnaðinum NGINX Open Source eða NGINX Plus samkvæmt tilkynningunni.
F5 tilgreinir þrjú skilyrði sem þurfa að vera til staðar til að hægt sé að misnota veikleikann og setur fram ítarlegar leiðbeiningar um ráðstafanir til að koma í veg fyrir misnotkun.
Ekkert CVE er skráð og því ekkert opinbert CVSS skor, samkvæmt upplýsingum sem @_Blue_hornet hefur birt á Twitter [3] og GitHub [4] að þá búa þeir yfir hugbúnaði sem getur misnotað veikleikann (e. exploit) og virðast hafa notað það til innbrota í nokkur kerfi. Miðað við fyrirliggjandi upplýsingar þá er CVSS skor veikleikans a bilinu 5.6 til 9.9 [5][6] en útreikningar eru til bráðabirgða þar sem lítið er staðfest um veikleikann.
CERT-IS hefur ekki upplýsingar um að veikleikarnir séu þegar misnotaðir fyrir utan það sem kemur fram í [3].
CERT-IS ráðleggur öllum að kanna hvort veikleikinn eigi við þeirra umhverfi og innleiði öryggisráðstafanir án tafa [1].
Tilvísanir:
[1] https://www.nginx.com/blog/addressing-security-weaknesses-nginx-ldap-reference-implementation/
[2] https://github.com/nginxinc/nginx-ldap-auth
[3] https://twitter.com/_Blue_hornet/status/1512759109275242497
[4] https://github.com/AgainstTheWest/
[5] https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L/E:U/RL:W/RC:U/CR:X/IR:X/AR:X/MAV:N/MAC:X/MPR:N/MUI:N/MS:U/MC:X/MI:X/MA:X&version=3.1
