Kritische Schwachstellen in F5 BIG-IP, BIG-IQ ermöglichen Remote Code Execution auf gefährdeten Systemen
Inhaltsverzeichnis:
Am 10. März 2021 hat F5 eine Reihe kritischer Sicherheitsprobleme behoben, die von entfernten Angreifern ausgenutzt werden könnten, um die vollständige Kontrolle über die verwundbaren Hosts zu erlangen. Laut dem Anbieter gibt es vier kritische Schwachstellen in seinen BIG-IP- und BIG-IQ-Produkten, die Remote-Code-Ausführung (RCE) auf den betroffenen Instanzen ermöglichen. Das Vorhandensein von Sicherheitslücken könnte verheerende Folgen haben, da 48 der Fortune 50-Unternehmen auf F5s Produkte für Netzwerkinfrastruktur setzen. Diese Liste umfasst renommierte Technikanbieter, Regierungsbehörden, Gesundheitsdienstleister, Finanzinstitute und Telekommunikationsunternehmen.
Kritische Schwachstellen in F5 BIG-IP, BIG-IQ
Die dringendsten und gefährlichsten Schwachstellen sind CVE-2021-22986 und CVE-2021-22987, die mit CVSS-Schweregraden von 9,8 bzw. 9,9 bewertet wurden. Das erste Problem (CVE-2021-22986) ist eine nicht authentifizierte Remote-Befehlsausführungsschwachstelle in der iControl-REST-Schnittstelle. Sie ermöglicht es Hackern, willkürliche Systembefehle auszuführen, Dateien zu erstellen/löschen und Systemdienste zu verwalten. Der zweite Fehler (CVE-2021-22987) resultiert aus einer Fehlkonfiguration der Traffic Management-Benutzeroberfläche (TMUI) und führt zu einer authentifizierten RCE auf nicht offengelegten Seiten im Applikationsmodus.
Die beiden verbleibenden kritischen Fehler in F5 BIG-IP und BIG-IQ (CVE-2021-22991, CVE-2021-22992) sind Pufferüberlaufprobleme, die sich aus dem Traffic Management Microkernel (TMM) und virtuellen Serversystemen des Advanced WAF/ASM ergeben. Beide Schwachstellen erhielten einen CVSS-Schweregrad von 9,0, was Remote-Code-Ausführung und Denial-of-Service (DoS) auf den betroffenen Installationen ermöglicht.
Neben den kritischen Sicherheitsproblemen hat F5 auch zwei hoheschwere (CVE-2021-22988, CVE-2021-22989) und einen mittelschweren (CVE-2021-2290) Fehler behoben, die ebenfalls zur Remote-Code-Ausführung führen.
Erkennung und Abhilfe
Laut dem F5-Bericht, betreffen die vier kritischen Schwachstellen BIG-IP-Versionen 11.6 oder 12.x und neuer, wobei eine davon auch BIG-IQ-Versionen 6.x und 7.x betrifft. Der Sicherheits-Patch für die Probleme wurde diese Woche veröffentlicht, daher werden die Nutzer aufgefordert, die Updates umgehend durchzuführen.
Um mögliche Exploit-Versuche zu erkennen und eine proaktive Verteidigung gegen die Angriffe zu ermöglichen, hat das SOC Prime-Team eine Reihe von Sigma-Regeln im Threat Detection Marketplace veröffentlicht.
Mögliche F5 CVE-2021-22991 (via Zeek)
Mögliche F5 CVE-2021-22992 (via Web)
Bleiben Sie auf unserem Blog auf dem Laufenden, um keine weiteren Updates und neuen Erkennungen zu diesen gefährlichen Schwachstellen zu verpassen. Alle neuen Informationen und die kommenden Sigma-Regeln werden diesem Artikel hinzugefügt.
F5 ist das zweite weltweit führende Unternehmen, das dringend extrem gefährliche Schwachstellen in seinen Produkten behebt. Anfang März 2021 adressierte Microsoft mehrere Zero-Day-Schwachstellen, die ihren Exchange Server betreffen. Die Schwachstellen wurden sofort in freier Wildbahn von mehreren Bedrohungsakteuren ausgenutzt, einschließlich der China-affiliierten Hafnium APT. Das SOC Prime-Team veröffentlichte eine Reihe von Sigma-Regeln, um eine schnelle Erkennung und proaktive Verteidigung gegen diese Zero-Day-Probleme zu ermöglichen. Die Liste der Erkennungen finden Sie in unserem speziellen Blogpost. Darüber hinaus wurden Regeln zu Uncoder.io, dem Werkzeug von SOC Prime, hinzugefügt, das Sigma-Regelformat in Bedrohungserkennungsinhalte umwandelt, die auf die verwendete Sicherheitsplattform zugeschnitten sind.
Abonnieren Sie den Threat Detection Marketplace, die erste Content-as-a-Service (CaaS) und Detection as Code-Plattform der Branche, die die weltweit größte Bibliothek von Erkennungs- und Reaktionsregeln, Parsern, Suchanfragen und anderem kuratierten SOC-Inhalt aggregiert. Über 300 Mitwirkende bereichern täglich unsere globale Bibliothek, um die kontinuierliche Erkennung der alarmierendsten Cyber-Bedrohungen in den frühesten Phasen des Angriffslebenszyklus zu ermöglichen. Möchten Sie an diesen Bedrohungsjagdaktivitäten teilnehmen? Treten Sie SOC Primes Threat Bounty-Programm bei für eine sicherere Zukunft!