KRITIEKE KWETSBAARHEDEN IN F5 BIG-IP- EN BIG-IQ-SYSTEMEN NU ACTIEF GEËXPLOITEERD
CVSS-score: Hoogst op 9.9/10
- CVE-2021-22986 (CVSS: 9.8)
- CVE-2021-22987 (CVSS: 9.9)
- CVE-2021-22991 (CVSS: 9.0)
- CVE-2021-22992 (CVSS: 9.0)
Bronnen
Officiële leverancier: https://support.f5.com/csp/article/K02566623
Risico’s
De 4 kritieke kwetsbaarheden worden hieronder kort beschreven.
De niet-kwetsbare versies van de producten zijn te vinden in de desbetreffende tabellen.
CVE-2021-22986
Een aanvaller die de kwetsbaarheid CVE-2021-22986 misbruikt, kan willekeurige systeemcommando's uitvoeren, bestanden maken of verwijderen en diensten uitschakelen. Exploitatie kan het systeem volledig compromitteren. Het BIG-IP-systeem in Appliance modus is ook kwetsbaar.
Er is geconstateerd dat deze kwetsbaarheid actief wordt uitgebuit.
Referentie van de verkoper: https://support.f5.com/csp/article/K03009991
Getroffen producten: F5 BIG-IP (CVE-2021-22986)
BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
Branch | Kwetsbare versies | Niet-kwetsbare versies |
---|---|---|
16.X | 16.0.0 - 16.0.1 | 16.0.1.1 |
15.X | 15.1.0 - 15.1.2 | 15.1.2.1 |
14.X | 14.1.0 - 14.1.3 | 14.1.4 |
13.X | 13.1.0 - 13.1.3 | 13.1.3.6 |
12.X | 12.1.0 - 12.1.5 | 12.1.5.3* |
11.X | 11.6.1 - 11.6.5 | 11.6.5.3 |
* Er is een probleem vastgesteld met het bigd proces in versie 12.1.5.3. Voor meer informatie, zie K50524736: Bigd process memorylek na het updaten naar BIG-IP 12.1.5.3. (https://support.f5.com/csp/article/K50524736)
Getroffen producten: F5 BIG-IQ (CVE-2021-22986)
Branch | Kwetsbare versies | Niet-kwetsbare versies |
---|---|---|
8.X | None | 8.0.0 |
7.X | 7.0.0 7.1.0 |
7.0.0.2 7.1.0.3 |
6.X | 6.0.0 - 6.1.0 | None |
CVE-2021-22987
Een aanvaller die de kwetsbaarheid CVE-2021-22987 misbruikt, kan een "authenticated remote command execution" uitvoeren op niet-publieke pagina's.
Referentie van de verkoper: https://support.f5.com/csp/article/K18132488
Getroffen producten: F5 BIG-IP (CVE-2021-22987)
BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
Branch | Kwetsbare versies | Niet-kwetsbare versies |
---|---|---|
16.X | 16.0.0 - 16.0.1 | 16.0.1.1 |
15.X | 15.1.0 - 15.1.2 | 15.1.2.1 |
14.X | 14.1.0 - 14.1.3 | 14.1.4 |
13.X | 13.1.0 - 13.1.3 | 13.1.3.6 |
12.X | 12.1.0 - 12.1.5 | 12.1.5.3* |
11.X | None | Not applicable |
* Er is een probleem vastgesteld met het bigd proces in versie 12.1.5.3. Voor meer informatie, zie K50524736: Bigd process memorylek na het updaten naar BIG-IP 12.1.5.3. (https://support.f5.com/csp/article/K50524736)
CVE-2021-22991
Een aanvaller die de kwetsbaarheid CVE-2021-22991 misbruikt, kan een buffer-overflow veroorzaken wanneer onbekende verzoeken worden afgehandeld door de Traffic Management Microkernel (TMM).
Referentie van de verkoper: https://support.f5.com/csp/article/K56715231
Getroffen producten: F5 BIG-IP (CVE-2021-22991)
BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
Branch | Kwetsbare versies | Niet-kwetsbare versies |
---|---|---|
16.X | 16.0.0 - 16.0.1 | 16.0.1.1 |
15.X | 15.1.0 - 15.1.2 | 15.1.2.1 |
14.X | 14.1.0 - 14.1.3 | 14.1.4 |
13.X | 13.1.0 - 13.1.3 | 13.1.3.6 |
12.X | 12.1.0 - 12.1.5 | 12.1.5.3* |
11.X | None | Not applicable |
* Er is een probleem vastgesteld met het bigd proces in versie 12.1.5.3. Voor meer informatie, zie K50524736: Bigd process memorylek na het updaten naar BIG-IP 12.1.5.3. (https://support.f5.com/csp/article/K50524736)
CVE-2021-22992
Een aanvaller die CVE-2021-22992 misbruikt, kan deze kwetsbaarheid uitbuiten door een kwaadaardige HTTP-respons te sturen naar een virtuele Advanced WAF/ASM-server met een loginpagina geconfigureerd in zijn policy, wat een bufferoverflow kan veroorzaken die resulteert in een DoS-aanval (Denial of Service).
Referentie van de verkoper: https://support.f5.com/csp/article/K52510511
Getroffen producten: F5 BIG-IP (CVE-2021-22992)
BIG-IP (Advanced WAF and ASM)
Branch | Kwetsbare versies | Niet-kwetsbare versies |
---|---|---|
16.X | 16.0.0 - 16.0.1 | 16.0.1.1 |
15.X | 15.1.0 - 15.1.2 | 15.1.2.1 |
14.X | 14.1.0 - 14.1.3 | 14.1.4 |
13.X | 13.1.0 - 13.1.3 | 13.1.3.6 |
12.X | 12.1.0 - 12.1.5 | 12.1.5.3* |
11.X | 11.6.1 - 11.6.5 | 11.6.5.3 |
* Er is een probleem vastgesteld met het bigd proces in versie 12.1.5.3. Voor meer informatie, zie K50524736: Bigd process memorylek na het updaten naar BIG-IP 12.1.5.3. (https://support.f5.com/csp/article/K50524736)
Beschrijving
In totaal zijn 21 kwetsbaarheden gemeld, waaronder vier KRITISCHE kwetsbaarheden.
4 Kritische CVE's:
- CVE-2021-22986: F5 BIG-IP en F5 BIG-IQ producten zijn kwetsbaar door een remote command execution
- CVE-2021-22987: Remote command execution-kwetsbaarheid bij gebruik in Appliance mode
- CVE-2021-22991: Buffer-overflow-kwetsbaarheid van de Traffic Management Microkernel (TMM)
- CVE-2021-22992: Buffer-overflow- kwetsbaarheid van de WAF/BIG-IP ASM-virtual server login-pagina
Andere kwetsbaarheden die als HIGH (7) en MEDIUM (10) zijn beoordeeld, worden toegelicht op de website van de leverancier: https://support.f5.com/csp/article/K02566623.
Aanbevolen acties
CERT.be raadt aan om de volgende "aanbevolen acties" van de leverancier die F5 BIG-IP- en BIG-IQ-producten uit te voeren: https://support.f5.com/csp/article/K03009991.
CERT.be raadt aan om F5 BIG-IP- en BIG-IQ-producten te upgraden naar een niet-kwetsbare versie (zie bovenstaande tabellen).
De leverancier heeft "Considerations and guidance when you suspect a security compromise" op een BIG-IP-systeem gepubliceerd: https://support.f5.com/csp/article/K11438344.
CERT.be beveelt aan om controles uit te voeren op de F5-systemen en de logs om te zoeken naar verdachte activiteiten.
Referenties
Leverancier:
- https://support.f5.com/csp/article/K03009991 (Advies leverancier)
- https://support.f5.com/csp/article/K04532512 (Faq's van F5-kwetsbaarheden)
- https://support.f5.com/csp/article/K02566623 (Overzicht van 21 F5-kwetsbaarheden)
- https://support.f5.com/csp/article/K11438344 (Advies en begeleiding)
Andere: