Kolejne, krytyczne podatności RCE w serwerach F5 Big-IP

Nowoodkryte luki w F5

To nie pierwsze informacje o problemach F5 z wykrytymi lukami bezpieczeństwa w ich aplikacjach oraz sprzęcie. Ostatnie, o których pisaliśmy we wrześniu dotyczyły luk w kontrolerze dostarczania aplikacji BIG-IP (ADC).

W środę firma opublikowała ostrzeżenie dotyczące wykrycia kolejnych czterech krytycznych luk w kilku swoich produktach, które mogą skutkować atakiem typu DDoS, a nawet zdalnym wykonaniem nieuwierzytelnionego kodu w sieciach docelowych. Podatności są godne uwagi, ponieważ po raz drugi od tylu lat F5 ujawnił, że mogą pozwolić na zdalne wykonanie kodu.

Łatki dotyczą łącznie siedmiu powiązanych błędów (od CVE-2021-22986 do CVE-2021-22992), z których dwie zostały odkryte i zgłoszone przez Felixa Wilhelma z Google Project Zero w grudniu 2020 roku.

Cztery krytyczne luki dotyczą BIG-IP w wersjach 11.6 lub 12.x i nowszych, z krytycznym zdalnym wykonaniem kodu przed autoryzacją (CVE-2021-22986), wpływającym również na BIG-IQ w wersjach 6.x i 7.x. Oto one:

• Luka umożliwiająca wykonanie nieuwierzytelnionego zdalnego polecenia iControl REST (CVE-2021-22986). Wynik CVSS: 9,8 (krytyczna)
• Luka umożliwiająca uwierzytelnianie zdalnego polecenia TMUI w trybie urządzenia (CVE-2021-22987) – Podczas pracy w trybie urządzenia interfejs użytkownika zarządzania ruchem (TMUI), nazywany również narzędziem konfiguracyjnym, ma lukę w zabezpieczeniach umożliwiającą uwierzytelnione zdalne wykonanie poleceń na nieujawnionych stronach. Wynik CVSS: 9,9 (krytyczna)
• Luka w zabezpieczeniach TMM związana z przepełnieniem buforu (CVE-2021-22991) https://support.f5.com/csp/article/K56715231 – nieujawnione żądania do serwera wirtualnego mogą być nieprawidłowo obsługiwane przez normalizację identyfikatora URI mikrokernela zarządzania ruchem (TMM), co może wywołać przepełnienie bufora, skutkując DoS. W pewnych sytuacjach może teoretycznie pozwolić na ominięcie kontroli dostępu opartej na adresach URL lub zdalne wykonanie kodu (RCE). Wynik CVSS: 9,0 (krytyczna)
• Zaawansowana luka w zabezpieczeniach przepełnienia bufora WAF / ASM (CVE-2021-22992) – złośliwa odpowiedź HTTP przez serwer wirtualny Advanced WAF / BIG-IP ASM ze skonfigurowaną stroną logowania w swojej polityce może wywołać przepełnienie bufora, skutkując atakiem DoS. W niektórych sytuacjach może pozwolić na zdalne wykonanie kodu (RCE), prowadząc do całkowitego złamania zabezpieczeń systemu. Wynik CVSS: 9,0 (krytyczna)

F5 powiedział, że nie jest świadomy publicznego wykorzystywania tych luk przez hakerów na Świecie.

Luki zostały usunięte w następujących produktach:

• Wersje BIG-IP: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 i 11.6.5.3
• Wersje BIG-IQ: 8.0.0, 7.1.0.3 i 7.0.0.2

Oprócz tych błędów, środowe łatki zawierają również 14 poprawek, innych, niezwiązanych z powyższymi problemami bezpieczeństwa.

Jakie skutki mogą ponieść firmy, jeśli nie załatają tych błędów?

Skuteczne wykorzystanie opisywanych luk może doprowadzić do pełnego naruszenia bezpieczeństwa podatnych systemów, w tym do możliwości zdalnego wykonania kodu, a także do wywołania przepełnienia bufora prowadzącego do ataku DoS. Firmy posiadające niezałatane kontrolery F5 BIG-IP ADC będą jeszcze bardziej narażone na ryzyko ze strony zmotywowanych finansowo hakerów. Wiele grup hackerskich wykorzystuje takie błędy (w szczególności te RCE) do atakowania niezałatanych urządzeń, dzięki którym mogą wdrażać oprogramowanie ransomware i infekować sieć. Celem ich ataków jest na ogół wykradanie danych uwierzytelniających (w szczególności użytkowników uprzywilejowanych, które stanowią aż 80% ataków), aby uzyskać dostęp do innych urządzeń/komputerów oraz wykradanie danych wrażliwych.

Plusem firmy F5 jest, że poinformowała klientów o wykrytych lukach w zabezpieczeniach na podstawie regularnych i ciągłych wewnętrznych testów bezpieczeństwa rozwiązań oraz we współpracy z firmą trzecią, działającą w ramach programu bezpieczeństwa F5.