Angreifer könnten BIG-IP-Appliances von F5 vollständig kompromittieren
F5 hat Sicherheitsupdates veröffentlicht, die unter anderem vier kritische Lücken in verschiedenen BIG-IP-Systemen schließen.
Admins, die BIG-IP-Appliances von F5 einsetzen, sollten die Software der Geräte aus Sicherheitsgründen zügig auf den aktuellen Stand bringe. Andernfalls könnten Angreifer die volle Kontrolle über Geräte erlangen.
BIG-IP Appliances kommen in vielen großen Firmen wie Microsoft und Oracle, sowie Regierungen und Banken zum Einsatz. Damit steuern und überwachen Admins unter anderem den Datenverkehr in Netzwerken. Dazu gehören neben beispielsweise Load Balancern auch Sicherheitsmechanismen.
Jetzt patchen!
Einer Warnmeldung zufolge haben die Entwickler insgesamt vier „kritische“ Sicherheitslücken geschlossen. So könnten Angreifer zum Beispiel am iControl-REST-Interface ansetzen und ohne Authentifizierung aus der Ferne Schadcode ausführen. Die Lücke (CVE-2021-22986) betrifft neben BIG-IP auch die Management-Lösung BIG-IQ.
Die BIG-IP-Versionen 12.1.5.3, 13.1.3.6, 14.1.4, 15.1.2.1 und 16.0.1.1 sind gegen solche Attacken abgesichert. Bei BIG-IQ sind die Ausgaben 7.0.0.2, 7.1.0.3 und 8.0.0 repariert. F5 rät Admins dazu, die Sicherheitsupdates umgehend zu installieren.
Noch mehr Lücken
Darüber hinaus haben die Entwickler noch drei weitere Schwachstellen geschlossen. Zwei davon sind mit „hoch“ und eine mit „mittel“ eingestuft. Auch hier könnten Angreifer nach erfolgreichen Attacken eigene Befehle ausführen.
(des)