Spoločnosť F5 varuje pred kritickými zraniteľnosťami svojich produktov
Spoločnosť F5 vydala bezpečnostné aktualizácie svojich produktov, ktoré opravujú kritické zraniteľnosti. Zraniteľnosti by mohli byť zneužité na vzdialené vykonanie kódu (RCE), alebo spôsobenie nedostupnosti služby (DoS). S veľkou váhou apeluje na administrátorov aj organizácia CISA, ktorá upozorňuje na potrebu zabezpečenia produktov spoločnosti F5 pre zamedzenie zneužívania kritických zraniteľností.
Dôsledky
- Nedostupnosť služby
- Kompromitácia zraniteľného zariadenia
- Narušenie integrity súborov produktu
Opis činnosti
CVE-2021-22986, CVE-2021-22987, CVE-2021-22991, CVE-2021-22992, CVE-2021-22988, CVE-2021-22989, CVE-2021-22990
CVE-2021-22986 (CVSS 9,8)
Zraniteľnosť umožňuje neautentifikovanému útočníkovi so sieťovým prístupom k rozhraniu iControl REST vykonať ľubovoľné systémové príkazy (RCE), vytvárať, alebo mazať súbory a deaktivovať služby. Zraniteľnosť je možné zneužiť len cez riadiace rozhranie chybného zariadenia, nie cez dátový kanál zariadenia. Zneužitie zraniteľnosti môže viesť k celkovej kompromitácii systému. Zariadenie je zraniteľné aj v aplikačnom režime.
CVE-2021-22987 (CVSS 9,9)
Zraniteľnosť umožňujúca autentifikovanému útočníkovi so sieťovým prístupom ku konfiguračnému nástroju (TMUI) prostredníctvom BIG-IP manažmentového portu, alebo vlastných IP adries vykonávať ľubovoľné systémové príkazy (RCE). Vytvárať alebo mazať súbory, či deaktivovať služby. Zraniteľnosť rovnako ako CVE-2021-22986 je možné zneužiť len s prístupom k riadiacemu rozhraniu, v tomto prípade TMUI, nie dátovým kanálom. Zneužitie môže viesť k úplnej kompromitácii systému a narušeniu zraniteľného Aplikačného režimu.
CVE-2021-22991 (CVSS 9,0)
Bližšie nešpecifikované požiadavky na virtuálny server môžu byť nesprávne spracované prvkom TMM (Traffic Management Microkernel), čo môže spôsobiť pretečenie medzipamäte a zapríčiniť nedostupnosť služby (DoS). V určitých situáciách môže teoreticky umožniť útočníkovi obchádzať riadenie webového prístupu, alebo vzdialené vykonanie kódu (RCE).
Zraniteľnosť ovplyvňuje systémy vo viacerých konfiguráciách, ako:
- BIG-IP Access Policy Manager (APM)
- BIG-IP ASM Risk Engine
- BIG-IP Policy Enforcement Manager (PEM)
- BIG-IP APM Secure Web Gateway (SWG)
- BIG-IP SSL Orchestrator
- BIG-IP System
CVE-2021-22992 (CVSS 9,0)
Je chyba pretečenia medzipamäte vo virtuálnych serveroch Advanced WAF/BIG-IP ASM s nakonfigurovanými webovými prístupmi. Útočník môže zneužiť zraniteľnosť, len ak vie manipulovať s http odpoveďami na strane servera, alebo ovládať back-end daného webového servera. V prípade úspešného zneužitia zraniteľnosti by bol útočník schopný spôsobiť odmietnutie služby (DoS), alebo v niektorých prípadoch vykonať ľubovoľný kód (RCE).
CVE-2021-22988 (CVSS 8,8)
RCE zraniteľnosť prvku TMUI umožňujúca autentifikovanému útočníkovi vykonať ľubovoľný kód (RCE).
CVE-2021-22989 (CVSS 8,0)
RCE zraniteľnosť prvku TMUI umožňujúca autentifikovanému útočníkovi vykonať ľubovoľný kód v aplikačnom režime, pokiaľ je v konfigurácii s pokročilým WAF alebo BIG-IP ASM.
CVE-2021-22990 (CVSS 6,6)
RCE Zraniteľnosť prvku TMUI umožňujúca autentifikovanému útočníkovi s právami správcu a so sieťovým prístupom k manažmentovému portu BIG-IP vykonať ľubovoľné systémové príkazy, mazať a vytvárať súbory, alebo deaktivovať služby.
Zraniteľné systémy
- F5 BIG-IQ
- F5 BIG-IP
- F5 BIG-IP Advanced WAF/ASM
Tabuľka zraniteľných a opravených verzií: https://support.f5.com/csp/article/K02566623
Závažnosť zraniteľnosti
Vysoká
Možné škody
Nedostupnosť služby (DoS)
Vzdialené vykonávanie kódu
Odporúčania
- Bezodkladná aktualizácia firmvéru produktov na opravené verzie
Odkazy
https://support.f5.com/csp/article/K02566623
https://socprime.com/blog/critical-vulnerabilities-in-f5-big-ip-big-iq-enable-remote-code-execution-on-vulnerable-systems/
https://www.tenable.com/blog/cve-2021-22986-f5-patches-several-critical-vulnerabilities-in-big-ip-big-iq
https://threatpost.com/f5-cisa-critical-rce-bugs/164679/
https://us-cert.cisa.gov/ncas/current-activity/2021/03/10/f5-security-advisory-rce-vulnerabilities-big-ip-big-iq