Dve zraniteľnosti v F5 dovoľujú vzdialene vykonávať kód

V zariadeniach F5 BIG-IP a BIG-IQ sa nachádzajú dve zraniteľnosti vedúce k možnosti vzdialene vykonávať kód a získať kontrolu nad zraniteľným systémom. Spoločnosť F5 vydala hotfix a postup na ich mitigáciu.

Opis činnosti:

Spoločnosť F5 opravila vo svojich produktoch F5 BIG-IP a F5 BIG-IQ dve vysoko závažné zraniteľnosti, ktoré útočníkom umožňujú vzdialene vykonávať kód. Objavili ich bezpečnostní výskumníci spoločnosti Rapid7.

CVE-2022-41622

Prvá zraniteľnosť nevyžaduje autentifikáciu. Vykonávanie kódu umožňuje pomocou CSRF útoku. Útočník, ktorý presvedčí prihláseného používateľa s administrátorskými oprávneniami v iControl SOAP, aby vykonal určité úkony, môže prevziať kontrolu nad celým systémom.

CVE-2022-41800

Druhá zo zraniteľností umožňuje vykonávanie kódu prihlásenému používateľovi s administrátorskými oprávneniami. Nachádza sa v Appliance móde iControl REST a dovoľuje obchádzať obmedzenia tohto módu.

Zraniteľné systémy:

BIG-IP (všetky moduly) verzie:

17.0.0  

16.1.0 – 16.1.3

15.1.0 – 15.1.8

14.1.0 – 14.1.5

13.1.0 – 13.1.5

BIG-IQ Centralized Management verzie:

8.0.0 – 8.2.0

7.1.0

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Vzdialené vykonávanie kódu
  • Prevzatie kontroly nad zraniteľným systémom

Odporúčania:

Inštalácia hotfixu, ktorý je pre podporované verzie vyžiadateľný cez produktovú podporu F5. Následne je potrebné zakázať Basic Authentication for iControl SOAP. Pre BIG-IQ hotfix nie je zatiaľ dostupný.

Ak nie je možná inštalácia hotfixu, resp. pre BIG-IQ, mitigácie sú dostupné na stránke spoločnosti TU (CVE-2022-41622)TU (CVE-2022-41800).

Odkazy:

https://securityaffairs.co/wordpress/138631/security/2-rce-f5-products.html

https://support.f5.com/csp/article/K94221585

https://support.f5.com/csp/article/K13325942

https://thehackernews.com/2022/11/high-severity-vulnerabilities-reported.html

https://www.rapid7.com/blog/post/2022/11/16/cve-2022-41622-and-cve-2022-41800-fixed-f5-big-ip-and-icontrol-rest-vulnerabilities-and-exposures/