Dve zraniteľnosti v F5 dovoľujú vzdialene vykonávať kód
V zariadeniach F5 BIG-IP a BIG-IQ sa nachádzajú dve zraniteľnosti vedúce k možnosti vzdialene vykonávať kód a získať kontrolu nad zraniteľným systémom. Spoločnosť F5 vydala hotfix a postup na ich mitigáciu.
Opis činnosti:
Spoločnosť F5 opravila vo svojich produktoch F5 BIG-IP a F5 BIG-IQ dve vysoko závažné zraniteľnosti, ktoré útočníkom umožňujú vzdialene vykonávať kód. Objavili ich bezpečnostní výskumníci spoločnosti Rapid7.
CVE-2022-41622
Prvá zraniteľnosť nevyžaduje autentifikáciu. Vykonávanie kódu umožňuje pomocou CSRF útoku. Útočník, ktorý presvedčí prihláseného používateľa s administrátorskými oprávneniami v iControl SOAP, aby vykonal určité úkony, môže prevziať kontrolu nad celým systémom.
CVE-2022-41800
Druhá zo zraniteľností umožňuje vykonávanie kódu prihlásenému používateľovi s administrátorskými oprávneniami. Nachádza sa v Appliance móde iControl REST a dovoľuje obchádzať obmedzenia tohto módu.
Zraniteľné systémy:
BIG-IP (všetky moduly) verzie:
17.0.0
16.1.0 – 16.1.3
15.1.0 – 15.1.8
14.1.0 – 14.1.5
13.1.0 – 13.1.5
BIG-IQ Centralized Management verzie:
8.0.0 – 8.2.0
7.1.0
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Vzdialené vykonávanie kódu
- Prevzatie kontroly nad zraniteľným systémom
Odporúčania:
Inštalácia hotfixu, ktorý je pre podporované verzie vyžiadateľný cez produktovú podporu F5. Následne je potrebné zakázať Basic Authentication for iControl SOAP. Pre BIG-IQ hotfix nie je zatiaľ dostupný.
Ak nie je možná inštalácia hotfixu, resp. pre BIG-IQ, mitigácie sú dostupné na stránke spoločnosti TU (CVE-2022-41622) a TU (CVE-2022-41800).
Odkazy:
https://securityaffairs.co/wordpress/138631/security/2-rce-f5-products.html
https://support.f5.com/csp/article/K94221585
https://support.f5.com/csp/article/K13325942
https://thehackernews.com/2022/11/high-severity-vulnerabilities-reported.html