www.belgium.be Logo of the federal government

KRITIEKE KWETSBAARHEDEN IN F5 BIG-IP- EN BIG-IQ-SYSTEMEN NU ACTIEF GEËXPLOITEERD

Referentie: 
Advisory #2021-0004
Versie: 
1.0
Geïmpacteerde software: 
F5 BIG-IP (zie tabel voor kwetsbare versies)
F5 BIG-IQ (zie tabel voor kwetsbare versies)
Type: 
4 kritieke CVE’s maken “Remote command execution” en “Buffer-overflows” mogelijk
CVE/CVSS: 

CVSS-score: Hoogst op 9.9/10

  • CVE-2021-22986 (CVSS: 9.8)
  • CVE-2021-22987 (CVSS: 9.9)
  • CVE-2021-22991 (CVSS: 9.0)
  • CVE-2021-22992 (CVSS: 9.0)

Bronnen

Officiële leverancier: https://support.f5.com/csp/article/K02566623

Risico’s

De 4 kritieke kwetsbaarheden worden hieronder kort beschreven.

De niet-kwetsbare versies van de producten zijn te vinden in de desbetreffende tabellen.

CVE-2021-22986

Een aanvaller die de kwetsbaarheid CVE-2021-22986 misbruikt, kan willekeurige systeemcommando's uitvoeren, bestanden maken of verwijderen en diensten uitschakelen. Exploitatie kan het systeem volledig compromitteren. Het BIG-IP-systeem in Appliance modus is ook kwetsbaar.

Er is geconstateerd dat deze kwetsbaarheid actief wordt uitgebuit.

Referentie van de verkoper: https://support.f5.com/csp/article/K03009991

Getroffen producten: F5 BIG-IP (CVE-2021-22986)

BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)

Branch Kwetsbare versies Niet-kwetsbare versies
16.X 16.0.0 - 16.0.1 16.0.1.1
15.X 15.1.0 - 15.1.2 15.1.2.1
14.X 14.1.0 - 14.1.3 14.1.4
13.X 13.1.0 - 13.1.3 13.1.3.6
12.X 12.1.0 - 12.1.5 12.1.5.3*
11.X 11.6.1 - 11.6.5 11.6.5.3

* Er is een probleem vastgesteld met het bigd proces in versie 12.1.5.3. Voor meer informatie, zie K50524736: Bigd process memorylek na het updaten naar BIG-IP 12.1.5.3. (https://support.f5.com/csp/article/K50524736)

Getroffen producten: F5 BIG-IQ (CVE-2021-22986)

Branch Kwetsbare versies Niet-kwetsbare versies
8.X None 8.0.0
7.X 7.0.0
7.1.0
7.0.0.2
7.1.0.3
6.X 6.0.0 - 6.1.0 None

CVE-2021-22987

Een aanvaller die de kwetsbaarheid CVE-2021-22987 misbruikt, kan een "authenticated remote command execution" uitvoeren op niet-publieke pagina's.

Referentie van de verkoper: https://support.f5.com/csp/article/K18132488

Getroffen producten: F5 BIG-IP (CVE-2021-22987)

BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)

Branch Kwetsbare versies Niet-kwetsbare versies
16.X 16.0.0 - 16.0.1 16.0.1.1
15.X 15.1.0 - 15.1.2 15.1.2.1
14.X 14.1.0 - 14.1.3 14.1.4
13.X 13.1.0 - 13.1.3 13.1.3.6
12.X 12.1.0 - 12.1.5 12.1.5.3*
11.X None Not applicable

* Er is een probleem vastgesteld met het bigd proces in versie 12.1.5.3. Voor meer informatie, zie K50524736: Bigd process memorylek na het updaten naar BIG-IP 12.1.5.3. (https://support.f5.com/csp/article/K50524736)

CVE-2021-22991

Een aanvaller die de kwetsbaarheid CVE-2021-22991 misbruikt, kan een buffer-overflow veroorzaken wanneer onbekende verzoeken worden afgehandeld door de Traffic Management Microkernel (TMM).

Referentie van de verkoper: https://support.f5.com/csp/article/K56715231

Getroffen producten: F5 BIG-IP (CVE-2021-22991)

BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)

Branch Kwetsbare versies Niet-kwetsbare versies
16.X 16.0.0 - 16.0.1 16.0.1.1
15.X 15.1.0 - 15.1.2 15.1.2.1
14.X 14.1.0 - 14.1.3 14.1.4
13.X 13.1.0 - 13.1.3 13.1.3.6
12.X 12.1.0 - 12.1.5 12.1.5.3*
11.X None Not applicable

* Er is een probleem vastgesteld met het bigd proces in versie 12.1.5.3. Voor meer informatie, zie K50524736: Bigd process memorylek na het updaten naar BIG-IP 12.1.5.3. (https://support.f5.com/csp/article/K50524736)

CVE-2021-22992

Een aanvaller die CVE-2021-22992 misbruikt, kan deze kwetsbaarheid uitbuiten door een kwaadaardige HTTP-respons te sturen naar een virtuele Advanced WAF/ASM-server met een loginpagina geconfigureerd in zijn policy, wat een bufferoverflow kan veroorzaken die resulteert in een DoS-aanval (Denial of Service).

Referentie van de verkoper: https://support.f5.com/csp/article/K52510511

Getroffen producten: F5 BIG-IP (CVE-2021-22992)

BIG-IP (Advanced WAF and ASM)

Branch Kwetsbare versies Niet-kwetsbare versies
16.X 16.0.0 - 16.0.1 16.0.1.1
15.X 15.1.0 - 15.1.2 15.1.2.1
14.X 14.1.0 - 14.1.3 14.1.4
13.X 13.1.0 - 13.1.3 13.1.3.6
12.X 12.1.0 - 12.1.5 12.1.5.3*
11.X 11.6.1 - 11.6.5 11.6.5.3

* Er is een probleem vastgesteld met het bigd proces in versie 12.1.5.3. Voor meer informatie, zie K50524736: Bigd process memorylek na het updaten naar BIG-IP 12.1.5.3. (https://support.f5.com/csp/article/K50524736)

Beschrijving

In totaal zijn 21 kwetsbaarheden gemeld, waaronder vier KRITISCHE kwetsbaarheden.

4 Kritische CVE's:

  • CVE-2021-22986: F5 BIG-IP en F5 BIG-IQ producten zijn kwetsbaar door een remote command execution
  • CVE-2021-22987: Remote command execution-kwetsbaarheid bij gebruik in Appliance mode 
  • CVE-2021-22991: Buffer-overflow-kwetsbaarheid van de Traffic Management Microkernel (TMM)
  • CVE-2021-22992: Buffer-overflow- kwetsbaarheid van de WAF/BIG-IP ASM-virtual server login-pagina

Andere kwetsbaarheden die als HIGH (7) en MEDIUM (10) zijn beoordeeld, worden toegelicht op de website van de leverancier: https://support.f5.com/csp/article/K02566623.

Aanbevolen acties

CERT.be raadt aan om de volgende "aanbevolen acties" van de leverancier die F5 BIG-IP- en BIG-IQ-producten uit te voeren: https://support.f5.com/csp/article/K03009991.

CERT.be raadt aan om F5 BIG-IP- en BIG-IQ-producten te upgraden naar een niet-kwetsbare versie (zie bovenstaande tabellen).

De leverancier heeft "Considerations and guidance when you suspect a security compromise" op een BIG-IP-systeem gepubliceerd: https://support.f5.com/csp/article/K11438344.

CERT.be beveelt aan om controles uit te voeren op de F5-systemen en de logs om te zoeken naar verdachte activiteiten.

Referenties

Leverancier:

Andere:

https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/