Kritické zranitelnosti v produktech F5 BIG-IP a F5 BIG-IQ
11.03.2021
Kritické zranitelnosti v produktech F5 BIG-IP a F5 BIG-IQ

Společnost F5 vydala oznámení o identifikaci několika critical zranitelností v jejich systémech. Tyto zranitelnosti rozdělila do třech skupin viz níže.

Zranitelnosti v F5 TMUI & ICONTROL REST – Control plane

Nově objevené zranitelnosti v produktech F5 BIG-IP a F5 BIG-IQ. Některé z těchto zranitelností umožňují bez autentizace a uživatelské interakce možnost vykonat vzdálené akce (RCE). Dle informací F5 nebyl dosud zaznamenán pokus o exploitaci těchto zranitelností.

Zranitelnosti se týkají všech podporovaných verzí F5 BIG IP a F5 BIG IQ kromě verzí níže, ve kterých jsou již opraveny:

  • BIG-IP 16.0.1.1
  • BIG-IP 15.1.2.1
  • BIG-IP 14.1.4
  • BIG-IP 13.1.3.6
  • BIG-IP 12.1.5.3
  • BIG-IP 11.6.5.3
  • BIG-IQ 8.0.0
  • BIG-IQ 7.1.0.3
  • BIG-IQ 7.0.0.2

Zranitelnosti jsou přítomny na Control Plane (tedy na managementu), nicméně doporučujeme upgrade na některou z výše uvedených verzí, které tyto zranitelnosti neobsahují.

Komponenty F5 a zranitelnosti na nich:

Zranitelnost Severity Komponenta F5 Informace výrobce
CVE-2021-22986CriticaliControl REST interfaceiControl REST unauthenticated remote command execution vulnerability, https://support.f5.com/csp/article/K03009991
CVE-2021-22987CriticalTMUIAppliance mode TMUI authenticated remote command execution vulnerability, https://support.f5.com/csp/article/K18132488
CVE-2021-22988HighTMUITMUI authenticated remote command execution vulnerability, https://support.f5.com/csp/article/K70031188
CVE-2021-22989HighAWAF/ASM TMUIAppliance mode Advanced WAF/ASM TMUI authenticated remote command execution vulnerability, https://support.f5.com/csp/article/K56142644
CVE-2021-22990MediumAWAF/ASM TMUIAdvanced WAF/ASM TMUI authenticated remote command execution vulnerability CVE-2021-22990, https://support.f5.com/csp/article/K45056101

 

Zranitelnost TMM Buffer Overflow – Data Plane

Nově objevená zranitelnost v F5 BIG IP komponentě TMM. Tato zranitelnost umožňuje vykonat DoS útok. V některých případech je možné obejít touto zranitelností iRule, SWG, APM a SSL Orchestrátor politiku založenou na kontrole URL.

Zranitelnosti se týkají všech podporovaných verzí F5 BIG IP kromě verzí níže, ve kterých jsou již opraveny:

  • BIG-IP 16.0.1.1
  • BIG-IP 15.1.2.1
  • BIG-IP 14.1.4
  • BIG-IP 13.1.3.6
  • BIG-IP 12.1.5.3
  • BIG-IP 11.6.5.3

Zranitelnost nese označení CVE-2021-22991 a týká se nesprávně zpracované normalizace URI, kdy může dojít k buffer overflow. Její hodnocení je kritické.

Všem, kdo provozují F5 BIG IP doporučujeme upgrade na některou z výše uvedených verzí, které tuto zranitelnost neobsahují.

Další informace o této zranitelnosti naleznete na webových stránkách:
https://support.f5.com/csp/article/K56715231

 

Zranitelnost v AWAF/ASM Buffer Overflow – Data Plane

Nově objevená zranitelnost v F5 BIG IP komponente AWAF/ASM. Tato zranitelnost umožňuje vykonat DoS útok. V některých případech je možné pomocí této zranitelnosti vyvolat vzdálené spuštění kódu (RCE).

Zranitelnost se týká všech podporovaných verzí F5 BIG IP kromě verzí níže, ve kterých jsou již opraveny:

  • BIG-IP 16.0.1.1
  • BIG-IP 15.1.2.1
  • BIG-IP 14.1.4
  • BIG-IP 13.1.3.6
  • BIG-IP 12.1.5.3
  • BIG-IP 11.6.5.3

Zranitelnost nese označení CVE-2021-22992 a týká se nesprávně zpracované http odpovědi, kdy může dojít k buffer overflow. Její hodnocení je kritické.

Zranitelnost se týká jen Virtual Hostů s přiřazenou ASM politikou, která obsahuje ochranu Login Page. Využití této zranitelnosti je možné jen v případě manipulace s http odpovědí.

Všem, kdo provozují F5 BIG IP AWAF/ASM doporučujeme upgrade na některou z výše uvedených verzí, které tuto zranitelnost neobsahují.

Další informace o této zranitelnosti naleznete na webových stránkách:
https://support.f5.com/csp/article/K56715231