Kritische Schwachstelle bei F5 Big-IP-Sicherheitssystemen erlaubt die Ausführung von beliebigem Code – So handeln Sie richtig.
von Charles Kionga
F5 Networks meldet eine kritische Schwachstelle bei Sicherheitssystemen, die häufig bei Kunden in der DMZ zum Einsatz kommen. Eine Ausnutzung dieser Schwachstelle ermöglicht einem Angreifer die Ausführung von beliebigem Code mit Administratorrechten auf dem Zielsystem. Hierfür muss dieser lediglich eine speziell formatierte Anfrage an das Traffic Management User Interface senden – eine vorherige Authentifizierung ist nicht notwendig.
Verfasst von
E-Mail: Charles.Kionga@bechtle.com
Das Traffic Management User Interface (TMUI), auch bekannt als Configuration Utility, ist anfällig für eine Remote Code Execution Vulnerability (CVE-2020-5902). Sogenannter Proof of Concept Exploit Code ist bereits im Umlauf, und die Schwachstelle wird daher bereits aktiv ausgenutzt. Aus diesem Grund besteht dringender Handlungsbedarf bei bestehenden Installationen.
Welche Systeme sind betroffen?
Die Schwachstelle betrifft alle BIG-IP-Systeme bis einschließlich Version 15.x. Version 16.x ist von der Schwachstelle nicht betroffen.
Produkt | Version | Verwundbare | Behoben in | Kritikalität | CVSSv3 score |
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO) | 16.x | Keine | 16.0.0 | Nicht verwundbar | Keine |
| 15.x | 15.0.0 - 15.1.0 | 15.1.0.4 | Kritisch | 10.0 | |
| 14.x | 14.1.0 - 14.1.2 | 14.1.2.6 | |||
| 13.x | 13.1.0 - 13.1.3 | 13.1.3.4 | |||
| 12.x | 12.1.0 - 12.1.5 | 12.1.5.2 | |||
| 11.x | 11.6.1 - 11.6.5 | 11.6.5.2 |
Welche Maßnahmen sind erforderlich?
Es wird empfohlen, die entsprechenden Sicherheitsupdates so bald wie möglich einzuspielen.
Sofern das Traffic Management User Interface aus dem Internet erreichbar war, besteht eine sehr hohe Wahrscheinlichkeit, dass das System bereits kompromittiert wurde. Der F5-Knowledge-Base-Artikel zu dieser Schwachstelle bietet unter Indications of Compromise weiterführende Information darüber, wie eine etwaige Kompromittierung erkannt werden kann. Sofern hier jedoch Unsicherheiten bestehen, sollte das betroffene System neu aufgesetzt werden. Nähere Information hierzu beschreibt F5 in dem Artikel Considerations and guidance when you suspect a security compromise on a BIG-IP system.
