F5 BIG-IP und Nginx: Hersteller stopft teils kritische Sicherheitslücken
Mehrere Sicherheitslücken in den BIG-IP- und Nginx-Systemen von F5 könnten Angreifern etwa das Ausführen von Schadcode ermöglichen. Updates stehen bereit.
(Bild: Outflow_Designs / Shutterstock.com)
F5 warnt vor mehreren Sicherheitslücken in den BIG-IP- und Nginx-Installationen. Es handelt sich unter anderem um eine kritische Sicherheitslücke, durch die Angreifer Schadcode einschleusen und ausführen könnten. Aktualisierte Softwareversionen stehen bereit, sodass IT-Verantwortliche die Lecks stopfen können.
Kritische Schwachstelle
Die schwerwiegendste Sicherheitslücke betrifft die BIG-IP Advanced WAF und ASM. Sofern diese im Appliance-Modus laufen, könnten Angreifer aufgrund einer unzureichenden Filterung von übertragenen Parametern für einen Befehl in der iControl REST-Schnittstelle eigene Kommandos ausführen lassen (CVE-2022-41617, CVSS 9.1, Risiko "kritisch"). Im sogenannten Standard Deployment-Modus sinkt die Risikobewertung hingegen auf CVSS 7.2, was für ein hohes Risiko steht. Der Appliance-Modus wird mit einer spezifischen Lizenz freigeschaltet, erläutert F5 im Sicherheitsbericht.
Zudem listet F5 in einer Übersicht elf weitere Schwachstellen mit hohem Risiko auf, die neben den BIG-IP-Instanzen auch F5OS-A, F5OS-C sowie Nginx betreffen. Fünf Sicherheitslücken mit mittlerem Risiko finden sich neben den genannten Produkten auch in BIG-IQ Centralized Management. Eine Lücke findet sich mit niedrigem Bedrohungsgrad. Ohne Risikobewertung, aber mit Einstufung als "Sicherheitsgefährdung" ist eine Lücke in BIG-IP Advanced WAF, ASM sowie Nginx App Protect WAF. Bestimmte manipulierte XML-Anfragen werden nicht korrekt gefiltert und könnten an die eigentlich davor zu schützenden Server weitergeleitet werden.
Betroffen sind zahlreiche Versionen von BIG-IP. Die Fehler schließen die verfügbaren Updates auf die Stände 17.0.0.1, 16.1.3.2, 15.1.7, 14.1.5.2 und 13.1.5.1. F5OS-A erhält 1.1.0 und FSOS-C 1.5.0 als abgesicherte Fassung. Administratoren können zudem Nginx Plus mit den Releases R27 P1 und R26 P1 absichern, Nginx Open Source Subscription mit R2 P1 und R1 P1, Nginx Open Source mit 1.23.2 sowie 1.22.1 und Nginx Ingress Controller mit 2.4.1 oder 1.12.5. Für Nginx App Protect WAF steht Version 3.12.0 als Fehlerbehebung zur Verfügung.
Die F5 BIG-IP-Installationen wurden in der Vergangenheit nach Bekanntwerden von Sicherheitslücken rasch zum Ziel von Angriffen durch Cyberkriminelle. Daher sollten Administratoren nicht lange warten, sondern zügig ein Wartungsfenster zum Installieren der Aktualisierungen einplanen. F5 weist darauf hin, dass sich die Managed Services und Cloud-Dienste bereits auf dem aktuellen Stand befinden.
(dmk)
