Společnost F5 vydala oznámení o identifikaci několika critical zranitelností v jejich systémech. Tyto zranitelnosti rozdělila do třech skupin viz níže.
Zranitelnosti v F5 TMUI & ICONTROL REST – Control plane
Nově objevené zranitelnosti v produktech F5 BIG-IP a F5 BIG-IQ. Některé z těchto zranitelností umožňují bez autentizace a uživatelské interakce možnost vykonat vzdálené akce (RCE). Dle informací F5 nebyl dosud zaznamenán pokus o exploitaci těchto zranitelností.
Zranitelnosti se týkají všech podporovaných verzí F5 BIG IP a F5 BIG IQ kromě verzí níže, ve kterých jsou již opraveny:
- BIG-IP 16.0.1.1
- BIG-IP 15.1.2.1
- BIG-IP 14.1.4
- BIG-IP 13.1.3.6
- BIG-IP 12.1.5.3
- BIG-IP 11.6.5.3
- BIG-IQ 8.0.0
- BIG-IQ 7.1.0.3
- BIG-IQ 7.0.0.2
Zranitelnosti jsou přítomny na Control Plane (tedy na managementu), nicméně doporučujeme upgrade na některou z výše uvedených verzí, které tyto zranitelnosti neobsahují.
Komponenty F5 a zranitelnosti na nich:
Zranitelnost TMM Buffer Overflow – Data Plane
Nově objevená zranitelnost v F5 BIG IP komponentě TMM. Tato zranitelnost umožňuje vykonat DoS útok. V některých případech je možné obejít touto zranitelností iRule, SWG, APM a SSL Orchestrátor politiku založenou na kontrole URL.
Zranitelnosti se týkají všech podporovaných verzí F5 BIG IP kromě verzí níže, ve kterých jsou již opraveny:
- BIG-IP 16.0.1.1
- BIG-IP 15.1.2.1
- BIG-IP 14.1.4
- BIG-IP 13.1.3.6
- BIG-IP 12.1.5.3
- BIG-IP 11.6.5.3
Zranitelnost nese označení CVE-2021-22991 a týká se nesprávně zpracované normalizace URI, kdy může dojít k buffer overflow. Její hodnocení je
kritické.
Všem, kdo provozují F5 BIG IP doporučujeme upgrade na některou z výše uvedených verzí, které tuto zranitelnost neobsahují.
Další informace o této zranitelnosti naleznete na webových stránkách:
https://support.f5.com/csp/article/K56715231
Zranitelnost v AWAF/ASM Buffer Overflow – Data Plane
Nově objevená zranitelnost v F5 BIG IP komponente AWAF/ASM. Tato zranitelnost umožňuje vykonat DoS útok. V některých případech je možné pomocí této zranitelnosti vyvolat vzdálené spuštění kódu (RCE).
Zranitelnost se týká všech podporovaných verzí F5 BIG IP kromě verzí níže, ve kterých jsou již opraveny:
- BIG-IP 16.0.1.1
- BIG-IP 15.1.2.1
- BIG-IP 14.1.4
- BIG-IP 13.1.3.6
- BIG-IP 12.1.5.3
- BIG-IP 11.6.5.3
Zranitelnost nese označení CVE-2021-22992 a týká se nesprávně zpracované http odpovědi, kdy může dojít k buffer overflow. Její hodnocení je kritické.
Zranitelnost se týká jen Virtual Hostů s přiřazenou ASM politikou, která obsahuje ochranu Login Page. Využití této zranitelnosti je možné jen v případě manipulace s http odpovědí.
Všem, kdo provozují F5 BIG IP AWAF/ASM doporučujeme upgrade na některou z výše uvedených verzí, které tuto zranitelnost neobsahují.
Další informace o této zranitelnosti naleznete na webových stránkách:
https://support.f5.com/csp/article/K56715231