www.belgium.be Logo of the federal government

Meerdere kwetsbaarheden in F5 BIG-IP

Referentie: 
Advisory #2020-023
Versie: 
1.0
Geïmpacteerde software: 
BIG-IP versions (11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x)
Type: 
Remote Code Execution (RCE) & Cross-site-scripting (XXS)
CVE/CVSS: 

CVE-2020-5902 (CVSSv3: 10)
CVE-2020-5903 (CVSSv3: 7.5)

Datum: 
08/07/2020

Bronnen

(1) https://support.f5.com/csp/article/K52145254
(2) https://support.f5.com/csp/article/K43638305
(3) https://www.ptsecurity.com/ww-en/about/news/f5-fixes-critical-vulnerabil...
(4) https://fr.tenable.com/blog/cve-2020-5902-critical-vulnerability-in-f5-b...
(5) https://research.nccgroup.com/2020/07/05/rift-f5-networks-k52145254-tmui...

Risico’s

Er zijn twee kwetsbaarheden ontdekt in de configuratie-interface van de BIG-IP application delivery controller (ADC). De Cross-Site Scripting (XSS) kwetsbaarheid, CVE-2020-5903, zou een aanvaller in staat kunnen stellen om JavaScript-code uit te voeren onder dezelfde privileges als de huidige gebruiker. Succesvolle exploitatie van de remote code executie kwetsbaarheid, CVE-2020-5902, zou een ongeauthenticeerde aanvaller in staat kunnen stellen om willekeurige systeemcommando's en Java code uit te voeren, bestanden aan te maken of te verwijderen, informatie te onderscheppen, en diensten op het kwetsbare apparaat uit te schakelen.

Beschrijving

De BIG-IP administratieve interface is een van de meest populaire netwerkproducten van F5 Networks. BIG-IP-apparaten kunnen worden geconfigureerd als traffic shaping systemen, load balancers, firewalls, access gateways, rate limiters of SSL-middleware.
Een beveiligingsonderzoeker van Positive Technologies ontdekte twee kwetsbaarheden die invloed hebben op het configuratiehulpprogramma, ook wel de Traffic Management User Interface (TMUI) genoemd.
De kwetsbaarheid, CVE-2020-5903, maakt het mogelijk om JavaScript-code uit te voeren en de ernst van deze fout wordt als "hoog" geclassificeerd.
CVE-2020-5902, is een fout in de code-uitvoering op afstand, waardoor een aanvaller de volledige controle over het niet-gepatchte systeem kan overnemen. De ernst van deze kwetsbaarheid is geclassificeerd als "kritiek". Cyber security experts hebben echter ontdekt dat aanvallers actief gebruik maken van deze kwetsbaarheid voor een mogelijke cyberaanval.
Er zijn verschillende Proof of Concept (PoC) Scripts voor CVE-2020-5902 gepubliceerd.

Aanbevolen acties

Het CCB beveelt systeembeheerders aan om de patches voor beide kwetsbaarheden (CVE-2020-5903(2) en CVE-2020-5902(1)) die door de ontwikkelaar zijn vrijgegeven, toe te passen.
Indien onmiddellijke patching voor de kwetsbaarheid, CVE-2020-5902, niet mogelijk is, biedt F5 Networks workarounds(2) om een aanvaller te weerhouden van het misbruiken van deze kwetsbaarheid.