Security advisory F5 – 03/2021
Wczoraj pojawiło się nowe security advisory od firmy F5. Ze zdumieniem obserwowaliśmy, że pojawiło się w nim:
- 4 podatności o stopniu ryzyka Critical
- 2 podatności o stopniu ryzyka High
W związku z tym, jeżeli korzystacie z rozwiązań F5, zadaniem na dziś powinna być aktualizacja podatnych produktów tej firmy.
Póki co, w internecie krąży tylko jeden proof of concept, czyli prototyp exploita (w formie nieuzbrojonej), natomiast zazwyczaj jest to kwestią godzin lub maksymalnie dni, kiedy uzbrojone exploity pojawiają się masowo. Co bardziej zapaleni badacze (i przestępcy też) są w stanie rozpocząć poszukiwanie tzw. 1-day’a już po samym tytule security advisory, który wskazuje na to, gdzie szukać, a ponadto wiele można dowiedzieć się z analizy samej paczki z aktualizacją korzystając z techniki tzw. patch diffingu, czyli obserwacji poprawek, które wprowadza dana aktualizacja.
A jakie konkretnie problemy zidentyfikowano w F5?
Problemy o krytycznym stopniu ryzyka:
- CVE-2021-22987 When running in Appliance mode, the Traffic Management User Interface (TMUI), also referred to as the Configuration utility, has an authenticated remote command execution vulnerability in undisclosed pages. (CVSS 9.9 / Critical / Link)
- CVE-2021-22986 The iControl REST interface has an unauthenticated remote command execution vulnerability. (CVSS 9.8 / Critical / Link)
- CVE-2021-22991 Undisclosed requests to a virtual server may be incorrectly handled by the Traffic Management Microkernel (TMM) URI normalization, which may trigger a buffer overflow, resulting in a DoS attack. In certain situations, it may theoretically allow bypass of URL based access control or remote code execution (RCE). (CVSS 9.0 / Critical / Link)
- CVE-2021-22992 A malicious HTTP response to an Advanced WAF/BIG-IP ASM virtual server with Login Page configured in its policy may trigger a buffer overflow, resulting in a DoS attack. In certain situations, it may allow remote code execution (RCE), leading to complete system compromise. (CVSS 9.0 / Critical / Link)
Problemy o wysokim stopniu ryzyka:
- CVE-2021-22988 TMUI, also referred to as the Configuration utility, has an authenticated remote command execution vulnerability in undisclosed pages. (CVSS 8.8 / High / Link)
- CVE-2021-22989 When running in Appliance mode with Advanced WAF or BIG-IP ASM provisioned, the TMUI, also referred to as the Configuration utility, has an authenticated remote command execution vulnerability in undisclosed pages. (CVSS 8.0 / High / Link)
Pierwsze proof of concept od Project Zero:
https://bugs.chromium.org/p/project-zero/issues/detail?id=2132
https://bugs.chromium.org/p/project-zero/issues/detail?id=2126
Jak się bronić?
F5 Opublikowało także listę Frequently Asked Questions na temat tego, co możemy zrobić, jeżeli już dowiemy się, że mamy podatną wersję. Pełna lista środków zaradczych dostępna jest tutaj, a niektóre z nich obejmują np.:
- Aktualizację oprogramowania
- Weryfikację, czy nie doszło do włamania przy użyciu narzędzia F5 iHealth Diagnostics
- Ograniczenie dostępu sieciowego do panelu zarządzania z sieci internet
PS. Jeżeli w internecie pojawią się interesujące opisy i kody exploitów, uzupełnimy artykuł w przyłości.