F5, CISA warnen vor kritischen BIG-IP und BIG-IQ RCE Fehlern

Cyber Security News

Die F5-Schwachstellen könnten die Netzwerkinfrastruktur einiger der größten Tech- und Fortune-500-Unternehmen betreffen – darunter Microsoft, Oracle und Facebook.

F5 Networks warnt Anwender, vier kritische Remote Command Execution (RCE)-Fehler in seiner BIG-IP und BIG-IQ Enterprise Networking-Infrastruktur zu patchen. Wenn die Schwachstellen ausgenutzt werden, können Angreifer die vollständige Kontrolle über ein anfälliges System übernehmen.

Das Unternehmen veröffentlichte am Mittwoch ein Advisory zu insgesamt sieben Fehlern, wobei zwei weitere als hohes und einer als mittleres Risiko eingestuft wurden. “Wir raten allen Kunden dringend, ihre BIG-IP- und BIG-IQ-Systeme so schnell wie möglich auf eine gefixte Version zu aktualisieren”, rät das Unternehmen auf seiner Website.

Das Szenario ist besonders dringlich, da F5 Enterprise Networking für einige der größten Tech-Unternehmen der Welt bereitstellt, darunter Facebook, Microsoft und Oracle, sowie für eine Reihe von Fortune-500-Unternehmen, darunter einige der weltweit größten Finanzinstitute und ISPs.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

Die US-Behörde für Cybersicherheit und Infrastruktur (CISA) forderte Unternehmen, die BIG-IP und BIG-IQ einsetzen, außerdem auf, zwei der kritischen Schwachstellen zu beheben, die als CVE-2021-22986 und CVE-2021-22987 verfolgt werden.

Bei der erstgenannten Schwachstelle mit einem CVSS-Rating von 9,8 handelt es sich um eine nicht authentifizierte Remote-Befehlsausführungsschwachstelle in der iControl REST-Schnittstelle, wie aus einer detaillierten Aufschlüsselung der Fehler im Knowledge Center von F5 hervorgeht. Die letztgenannte Schwachstelle mit einem CVSS-Rating von 9,9 betrifft die Traffic Management User Interface (TMUI) der Infrastruktur, die auch als Configuration Utility bezeichnet wird. Wenn die TMUI im Appliance-Modus läuft, weist sie laut F5 eine authentifizierte RCE-Schwachstelle in nicht genannten Seiten auf.

Die beiden anderen kritisch bewerteten Schwachstellen werden als CVE-2021-22991 und CVE-2021-22992 verfolgt. Die erste, mit einem CVSS-Score von 9.0, ist eine Pufferüberlauf-Schwachstelle, die ausgelöst werden kann, wenn “unveröffentlichte Anfragen an einen virtuellen Server von der Traffic Management Microkernel (TMM) URI-Normalisierung falsch behandelt werden”, so F5. Dies kann zu einem Denial-of-Service (DoS)-Angriff führen, der in manchen Situationen “theoretisch eine Umgehung der URL-basierten Zugriffskontrolle oder Remote Code Execution (RCE) ermöglichen kann”, warnte das Unternehmen.

CVE-2021-22992 ist ebenfalls ein Pufferüberlauf-Bug mit einem CVSS-Rating von 9. Dieser Fehler kann laut F5 durch “eine bösartige HTTP-Antwort auf einen virtuellen Advanced WAF/BIG-IP ASM-Server mit einer in der Richtlinie konfigurierten Login-Seite” ausgelöst werden. In einigen Situationen kann er auch RCE und eine “vollständige Systemkompromittierung” ermöglichen, warnte das Unternehmen.

Die anderen drei nicht-kritischen Bugs, die in F5s Update diese Woche gepatcht werden, sind CVE-2021-22988, CVE-2021-22989 und CVE-2021-22990.

CVE-2021-22988, mit einem CVSS-Score von 8.8, ist ein authentifizierter RCE, der auch TMUI betrifft. CVE-2021-22989, mit einer CVSS-Bewertung von 8,0, ist ein weiterer authentifizierter RCE, der ebenfalls TMUI im Appliance-Modus betrifft, dieses Mal, wenn Advanced WAF oder BIG-IP ASM bereitgestellt werden. Und CVE-2021-2290, mit einem CVSS-Wert von 6.6, ist eine ähnliche, aber weniger gefährliche Schwachstelle, die laut F5 im gleichen Szenario existiert.

F5 ist kein Unbekannter, wenn es um kritische Bugs in seinen Enterprise Networking Produkten geht. Im Juli drängten der Anbieter und andere Sicherheitsexperten – darunter das U.S. Cyber Command – Unternehmen dazu, einen dringenden Patch für eine kritische RCE-Schwachstelle in den App Delivery Controllern von BIG-IP zu installieren, die von Angreifern aktiv ausgenutzt wurde, um Anmeldedaten abzugreifen, Malware zu starten und vieles mehr. Dieser Fehler (CVE-2020-5902) hatte eine CVSS-Bewertung von 10 von 10. Außerdem waren die Systeme aufgrund einer Verzögerung beim Patching noch Wochen nach der Veröffentlichung des Fixes durch F5 dem Fehler ausgesetzt.

Informieren Sie sich über unsere kommenden kostenlosen Live-Webinar-Veranstaltungen – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com