Das Cybersicherheitsunternehmen F5 hat eine Warnung vor sieben Schwachstellen in seiner Produktsuite herausgegeben, von denen vier als kritisch eingestuft sind. Die Fehler betreffen alle F5 BIG-IP- und BIG-IQ-Implementierungen und können für Remote Code Execution (RCE), Denial of Service (DoS) und Geräteübernahmeangriffe missbraucht werden. Die Fehler sind so gravierend, dass auch die US-amerikanische Cyberspace and Infrastructure Agency (CISA) einen Hinweis herausgegeben hat, in dem sie Unternehmen auffordert, „den F5-Hinweis zu prüfen und so schnell wie möglich aktualisierte Software zu installieren“. Gemäß der F5-Beratung sind jetzt Patches für alle sieben Schwachstellen verfügbar.
F5-Sicherheitslücken
Der schwerwiegendsten der F5-Schwachstellen, CVE-2021-22987, wurde gemäß dem Common Vulnerability Rating Standard (CVSS) ein Schweregrad von 9,9/10 zugewiesen. Der Fehler ermöglicht es Benutzern mit Netzwerkzugriff auf das Konfigurationsdienstprogramm (auch als Benutzeroberfläche für die Verkehrsverwaltung bekannt), „beliebige Systembefehle auszuführen, Dateien zu erstellen oder zu löschen oder Dienste zu deaktivieren“. CVE-22021-22986 hingegen gehört zur iControl REST-Schnittstelle und schafft Möglichkeiten für die gleichen Angriffsarten, was ihm einen Schweregrad von 9,8 verleiht. Beide Schwachstellen erfordern jedoch Zugriff auf die Kontrollebene, was den Angreifer dazu zwingen würde, die Anmeldeinformationen zu besitzen oder zu stehlen. Bei den letzten beiden kritischen Fehlern, CVE-2021-22991 und CVE-2021-22992, handelt es sich um Pufferüberlauf-Schwachstellen, die Tür und Tor für DoS-Angriffe und in manchen Situationen auch für die Ausführung von Code aus der Ferne öffnen. Über diese vier kritischen Schwachstellen hinaus veröffentlichte das Unternehmen auch Details zu einem mittelschweren Fehler und zwei hochschweren Fehlern sowie eine Entschuldigung an die betroffenen Kunden. „Diese Schwachstellen wurden als Ergebnis regelmäßiger und fortlaufender interner Sicherheitstests unserer Lösungen entdeckt“, sagte F5 in einem Blogbeitrag. „Da wir wissen, wie wichtig BIG-IP und BIG-IQ für unsere Kunden sind, haben wir, sobald diese Schwachstellen entdeckt wurden, sofort mit der Arbeit an Fehlerbehebungen begonnen und so schnell wie möglich Titelempfehlungen veröffentlicht.“ „Das Vertrauen, das Sie F5 bei der Verwaltung der Sicherheit und Bereitstellung Ihrer wichtigsten Assets – Ihrer Anwendungen – entgegenbringen, nehmen wir nicht auf die leichte Schulter. Wir verstehen, dass die Behebung von Schwachstellen Auswirkungen auf Ihr Unternehmen haben kann. "