Spoločnosť F5 varuje pred kritickými zraniteľnosťami svojich produktov

Spoločnosť F5 vydala bezpečnostné aktualizácie svojich produktov, ktoré opravujú kritické zraniteľnosti. Zraniteľnosti by mohli byť zneužité na vzdialené vykonanie kódu (RCE), alebo spôsobenie nedostupnosti služby (DoS). S veľkou váhou apeluje na administrátorov aj organizácia CISA, ktorá upozorňuje na potrebu zabezpečenia produktov spoločnosti F5 pre zamedzenie zneužívania kritických zraniteľností.

Dôsledky

  • Nedostupnosť služby
  • Kompromitácia zraniteľného zariadenia
  • Narušenie integrity súborov produktu

Opis činnosti
CVE-2021-22986, CVE-2021-22987, CVE-2021-22991, CVE-2021-22992, CVE-2021-22988, CVE-2021-22989, CVE-2021-22990

CVE-2021-22986 (CVSS 9,8)

Zraniteľnosť umožňuje neautentifikovanému útočníkovi so sieťovým prístupom k rozhraniu iControl REST vykonať ľubovoľné systémové príkazy (RCE), vytvárať, alebo mazať súbory a deaktivovať služby. Zraniteľnosť je možné zneužiť len cez riadiace rozhranie chybného zariadenia, nie cez dátový kanál zariadenia. Zneužitie zraniteľnosti môže viesť k celkovej kompromitácii systému. Zariadenie je zraniteľné aj v aplikačnom režime.

CVE-2021-22987 (CVSS 9,9)

Zraniteľnosť umožňujúca autentifikovanému útočníkovi so sieťovým prístupom ku konfiguračnému nástroju (TMUI) prostredníctvom BIG-IP manažmentového portu, alebo vlastných IP adries vykonávať ľubovoľné systémové príkazy (RCE). Vytvárať alebo mazať súbory, či deaktivovať služby. Zraniteľnosť rovnako ako CVE-2021-22986 je možné zneužiť len s prístupom k riadiacemu rozhraniu, v tomto prípade TMUI, nie dátovým kanálom. Zneužitie môže viesť k úplnej kompromitácii systému a narušeniu zraniteľného Aplikačného režimu.

CVE-2021-22991 (CVSS 9,0)

Bližšie nešpecifikované požiadavky na virtuálny server môžu byť nesprávne spracované prvkom TMM (Traffic Management Microkernel), čo môže spôsobiť pretečenie medzipamäte a zapríčiniť nedostupnosť služby (DoS). V určitých situáciách môže teoreticky umožniť útočníkovi obchádzať riadenie webového prístupu, alebo vzdialené vykonanie kódu (RCE).

Zraniteľnosť ovplyvňuje systémy vo viacerých konfiguráciách, ako:

  • BIG-IP Access Policy Manager (APM)
  • BIG-IP ASM Risk Engine
  • BIG-IP Policy Enforcement Manager (PEM)
  • BIG-IP APM Secure Web Gateway (SWG)
  • BIG-IP SSL Orchestrator
  • BIG-IP System

CVE-2021-22992 (CVSS 9,0)

Je chyba pretečenia medzipamäte vo virtuálnych serveroch Advanced WAF/BIG-IP ASM s nakonfigurovanými webovými prístupmi. Útočník môže zneužiť zraniteľnosť, len ak vie manipulovať s http odpoveďami na strane servera, alebo ovládať back-end daného webového servera. V prípade úspešného zneužitia zraniteľnosti by bol útočník schopný spôsobiť odmietnutie služby (DoS), alebo v niektorých prípadoch vykonať ľubovoľný kód (RCE).

CVE-2021-22988 (CVSS 8,8)

RCE zraniteľnosť prvku TMUI umožňujúca autentifikovanému útočníkovi vykonať ľubovoľný kód (RCE).

CVE-2021-22989 (CVSS 8,0)

RCE zraniteľnosť prvku TMUI umožňujúca autentifikovanému útočníkovi vykonať ľubovoľný kód v aplikačnom režime, pokiaľ je v konfigurácii s pokročilým WAF alebo BIG-IP ASM.

CVE-2021-22990 (CVSS 6,6)

RCE Zraniteľnosť prvku TMUI umožňujúca autentifikovanému útočníkovi s právami správcu a so sieťovým prístupom k manažmentovému portu BIG-IP vykonať ľubovoľné systémové príkazy, mazať a vytvárať súbory, alebo deaktivovať služby.

Zraniteľné systémy

  • F5 BIG-IQ
  • F5 BIG-IP
  • F5 BIG-IP Advanced WAF/ASM

Tabuľka zraniteľných a opravených verzií: https://support.f5.com/csp/article/K02566623

Závažnosť zraniteľnosti
Vysoká

Možné škody
Nedostupnosť služby (DoS)
Vzdialené vykonávanie kódu

Odporúčania

  • Bezodkladná aktualizácia firmvéru produktov na opravené verzie

Odkazy
https://support.f5.com/csp/article/K02566623
https://socprime.com/blog/critical-vulnerabilities-in-f5-big-ip-big-iq-enable-remote-code-execution-on-vulnerable-systems/
https://www.tenable.com/blog/cve-2021-22986-f5-patches-several-critical-vulnerabilities-in-big-ip-big-iq
https://threatpost.com/f5-cisa-critical-rce-bugs/164679/
https://us-cert.cisa.gov/ncas/current-activity/2021/03/10/f5-security-advisory-rce-vulnerabilities-big-ip-big-iq