Kritiska sårbarheter i F5 Networks-produkter
F5 Networks varnar om kritiska RCE-sårbarheter i flera produkter, bland andra olika versioner av BIG-IP. En av sårbarheterna (CVE-2022-1388) har CVSS-klassning 9,8 på den tiogradiga skalan.[1, 2]
Sårbarheten CVE-2022-1388 återfinns i kontrollplanet i BIG-IP och gör det möjligt för en oautentiserad angripare med nätverksåtkomst att kringgå iControl REST-autentiseringen i BIG-IP och på så sätt ta kontroll över ett påverkat system.
Uppdatering 2022-05-09
Sårbarheten utnyttjas nu aktivt. Se till att admingränssnittet inte är exponerat mot internet. Om det inte är möjligt, stäng av systemet helt. Om konfigurationen är säker, dvs inte kopplad mot internet, gå vidare med uppdateringen.
Uppdatering 2022-05-11
Administratörer uppmanas att följa F5 Networks instruktioner och installera tillgängliga patchar omgående, samt se till att admingränssnittet inte är nåbart från internet. Undersök även om en bakdörr kan ha installerats i sårbara system.[5]
F5 Networks rekommendationer [1] i korthet:- Blockera all åtkomst till iControl REST-gränssnittet via den egna ip-adressen
- Begränsa åtkomst till iControl REST via admingränssnittet
- Ändra BIG-IP httpd-konfigurationen
Uppdatering 2022-05-20
CISA och Multi-State Information Sharing and Analysis Center (MS-ISAC) har publicerat ett antal rekommendationer kring sårbarheten i BIG-IP. Användare och administratörer uppmuntras att granska dessa för mer information kring indikatorer för sårbarheten samt åtgärder. [6]
Påverkade produkter
Den mest kritiska sårbarheten berör följande versioner av BIG-IP:BIG-IPVersionerna 16.1.0 - 16.1.2Versionerna 15.1.0 - 15.1.5Versionerna 14.1.0 - 14.1.4Versionerna 13.1.0 - 13.1.4Versionerna 12.1.0 - 12.1.6Versionerna 11.6.1 - 11.6.5
För övriga påverkade produkter, se [3].
Rekommendationer
CERT-SE rekommenderar att uppdatera sårbara system så snart det är möjligt.
Källor
[1] https://support.f5.com/csp/article/K23605346
[3] https://support.f5.com/csp/article/K55879220
[4] https://isc.sans.edu/forums/diary/F5+BIGIP+Unauthenticated+RCE+Vulnerability+CVE20221388/28624/
[5] https://www.randori.com/blog/vulnerability-analysis-cve-2022-1388/