Zum zweiten Mal in weniger als einem Jahr gibt F5 kritische Sicherheitslücken in Netzwerkgeräten bekannt

Cyber Security News

F5 hat am 10. März sieben Schwachstellen in seinen Netzwerkgeräten BIG-IP und BIG-IQ bekannt gegeben. Dies ist die zweite signifikante Sicherheitsenthüllung des Unternehmens in weniger als einem Jahr.

Die jüngste Enthüllung umfasst Schwachstellen in der Remote-Befehlsausführung in der iControl REST-Schnittstelle und der Traffic Management User Interface sowie zwei Pufferüberlauf-Schwachstellen. Sechs der sieben aufgelisteten Schwachstellen erhalten vom Common Vulnerability Scoring System einen Schweregrad von 8.0 oder höher, und vier liegen zwischen 9.0 und 9.9.

Patches sind für alle sieben Schwachstellen für die BIG-IP-Versionen 16.01.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 und 11.6.5.3 verfügbar. Die iControl REST-Schwachstelle betrifft auch BIG-IQ, und Patches sind für die Versionen 8.0.0, 7.1.0.3 und 7.0.0.2 verfügbar.

In einem Blog mit dem Titel: “F5’s Commitment to Product Security”, machte Kara Sprague, Senior Vice President und General Manager der Big-IP-Produkte von F5, deutlich, dass die Auswirkungen weitreichend sind.

“Unterm Strich sind alle BIG-IP- und BIG-IQ-Kunden und -Instanzen betroffen – wir empfehlen allen Kunden dringend, ihre BIG-IP- und BIG-IQ-Implementierungen so schnell wie möglich auf die korrigierten Versionen zu aktualisieren”, schrieb Sprague.

In einem heute veröffentlichten Update für den How-to-Guide des Unternehmens zur Automatisierung von BIG-IP-Geräten merkt F5-Sicherheitsarchitekt Jason Rahm an, dass “einige der Schwachstellen zwar nicht trivial auszunutzen sind, aber nicht für alle eine praktische Abhilfe besteht.”

Die Offenlegung kommt weniger als ein Jahr, nachdem eine andere Remote-Code-Execution-Schwachstelle in BIG-IP-Geräten von F5, die vom Positive Technology-Forscher Mikhail Klyuchnikov entdeckt wurde, eine 10 von 10 für den Schweregrad erhielt und zu scharfen Warnungen von zwei Bundesbehörden – dem U.S. Cyber Command und der Cybersecurity and Infrastructure Security Agency – führte, dass eine weitreichende Überprüfung und Ausnutzung bereits im Gange sei und dass das Patchen “nicht über das Wochenende verschoben werden sollte.”

F5 BIG-IP-Netzwerkgeräte sind branchenübergreifend beliebt. Curtis Dukes vom Center for Internet Security sagt, dass sie von den meisten großen Unternehmen verwendet werden, darunter auch von vielen großen Cloud-Service-Providern.

“So ziemlich jeder Industriesektor verwendet das Gerät und ist wahrscheinlich anfällig – wenn sie mit dem Internet verbunden sind – für eine [RCE] Angriff anfällig”, sagte Dukes letztes Jahr über das BIG-IP-Produkt von F5.

Die im letzten Jahr gefundenen RCE-Schwachstellen, die schiere Anzahl der schweren und kritischen Schwachstellen, die in der neuen Offenlegung aufgeführt sind, und ihre weitreichenden Auswirkungen auf die Netzwerk- und zentralen Managementlösungen von F5 haben einige Informationssicherheitsexperten dazu veranlasst, sich zu fragen, ob es größere, grundlegendere Fehler in der Sicherheitskultur des Unternehmens gibt.

“Wenn Sie eine Analogie wollen, ist das ein Auto ohne Sicherheitsgurte oder Bremspedale, das Benzindämpfe in den Innenraum entweichen lässt, und jetzt blinkt auch noch die Ölwechsel-Lampe”, twitterte Matthew Tait, Chief Operating Officer von Corellium, der argumentierte, dass F5 es versäumt hat, grundlegende Sicherheitsvorkehrungen zu aktivieren, die einige der Schwachstellen nicht ausnutzbar oder trivial zu erkennen hätten machen können. “Also, ja, auf jeden Fall, wechselt das Öl. Aber das wird nicht verhindern, dass dieses Ding eine Todesfalle ist.”

Sprague schien ihrerseits zu versuchen, einigen dieser Fragen in ihrem Blog zuvorzukommen, indem sie auf die “umfassenden” Sicherheitspraktiken des Unternehmens hinwies, einschließlich “sicherer Schulungen und Frameworks, Tests, interner und externer Audits sowie der Verwaltung und Offenlegung von Schwachstellen” im gesamten Unternehmen. “Das Vertrauen, das Sie in F5 setzen, um die Sicherheit und Bereitstellung Ihrer wichtigsten Vermögenswerte – Ihrer Anwendungen – zu gewährleisten, nehmen wir nicht auf die leichte Schulter”, behauptete Sprague. “Wir wissen, dass die Behebung von Schwachstellen für Ihr Unternehmen störend sein kann. Wir unterstützen Sie dabei, Ihre BIG-IP- und BIG-IQ-Systeme effizient auf die neuesten, sichersten und leistungsstärksten Versionen zu aktualisieren, damit Sie weiterhin das tun können, was Sie am besten können: Ihre Kunden bedienen.”

Weitere technische Details zu den Schwachstellen sowie eine Anleitung zum Patchen und zur Behebung finden Sie hier.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com