Low-level News Web

F5 – Patchuj się, kto może

By 11/03/2021

Security advisory F5 – 03/2021

Wczoraj pojawiło się nowe security advisory od firmy F5. Ze zdumieniem obserwowaliśmy, że pojawiło się w nim:

  • 4 podatności o stopniu ryzyka Critical
  • 2 podatności o stopniu ryzyka High

W związku z tym, jeżeli korzystacie z rozwiązań F5, zadaniem na dziś powinna być aktualizacja podatnych produktów tej firmy.

Póki co, w internecie krąży tylko jeden proof of concept, czyli prototyp exploita (w formie nieuzbrojonej), natomiast zazwyczaj jest to kwestią godzin lub maksymalnie dni, kiedy uzbrojone exploity pojawiają się masowo. Co bardziej zapaleni badacze (i przestępcy też) są w stanie rozpocząć poszukiwanie tzw. 1-day’a już po samym tytule security advisory, który wskazuje na to, gdzie szukać, a ponadto wiele można dowiedzieć się z analizy samej paczki z aktualizacją korzystając z techniki tzw. patch diffingu, czyli obserwacji poprawek, które wprowadza dana aktualizacja.
A jakie konkretnie problemy zidentyfikowano w F5?

Problemy o krytycznym stopniu ryzyka:

  • CVE-2021-22987 When running in Appliance mode, the Traffic Management User Interface (TMUI), also referred to as the Configuration utility, has an authenticated remote command execution vulnerability in undisclosed pages. (CVSS 9.9 / Critical / Link)
  • CVE-2021-22986 The iControl REST interface has an unauthenticated remote command execution vulnerability. (CVSS 9.8 / Critical / Link)
  • CVE-2021-22991 Undisclosed requests to a virtual server may be incorrectly handled by the Traffic Management Microkernel (TMM) URI normalization, which may trigger a buffer overflow, resulting in a DoS attack. In certain situations, it may theoretically allow bypass of URL based access control or remote code execution (RCE). (CVSS 9.0 / Critical / Link)
  • CVE-2021-22992 A malicious HTTP response to an Advanced WAF/BIG-IP ASM virtual server with Login Page configured in its policy may trigger a buffer overflow, resulting in a DoS attack. In certain situations, it may allow remote code execution (RCE), leading to complete system compromise. (CVSS 9.0 / Critical / Link)

Problemy o wysokim stopniu ryzyka:

  • CVE-2021-22988 TMUI, also referred to as the Configuration utility, has an authenticated remote command execution vulnerability in undisclosed pages. (CVSS 8.8 / High / Link)
  • CVE-2021-22989 When running in Appliance mode with Advanced WAF or BIG-IP ASM provisioned, the TMUI, also referred to as the Configuration utility, has an authenticated remote command execution vulnerability in undisclosed pages. (CVSS 8.0 / High / Link)

Pierwsze proof of concept od Project Zero:

https://bugs.chromium.org/p/project-zero/issues/detail?id=2132

https://bugs.chromium.org/p/project-zero/issues/detail?id=2126

Jak się bronić?

F5 Opublikowało także listę Frequently Asked Questions na temat tego, co możemy zrobić, jeżeli już dowiemy się, że mamy podatną wersję. Pełna lista środków zaradczych dostępna jest tutaj, a niektóre z nich obejmują np.:

  • Aktualizację oprogramowania
  • Weryfikację, czy nie doszło do włamania przy użyciu narzędzia F5 iHealth Diagnostics
  • Ograniczenie dostępu sieciowego do panelu zarządzania z sieci internet

PS. Jeżeli w internecie pojawią się interesujące opisy i kody exploitów, uzupełnimy artykuł w przyłości.

You May Also Like

BugBounty Newsy Web

Darmowe szkolenie Burp Suite Community – pozostałe części

BugBounty Newsy Web 01/05/2021 By
Czytaj dalej
BugBounty Newsy Web

Workplace by Facebook: bug bounty za 100000 PLN

BugBounty Newsy Web 09/05/2021 By
Czytaj dalej
BugBounty Web

Szkolenie Burp Suite Community – część 4 – target

BugBounty Web 15/04/2021 By
Czytaj dalej
Copyright © 2023 by AFINE Cyber Academy. All rights reserved.