F5 BIG-IP: Zugriffsbeschränkungen umgehbar
F5 hat eine Sicherheitslücke in der Monitor-Funktion von BIG-IP gemeldet. Angreifer können betroffene Systeme kompromittieren.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
In den F5 BIG-IP-Appliances können Angreifer eine Schwachstelle ausnutzen, um ihre Rechte auszuweiten und die Konfiguration zu manipulieren. Dies könne das BIG-IP-System kompromittieren, warnt der Hersteller.
In der zugehörigen Sicherheitsmitteilung schreiben F5-Entwickler, dass "diese Schwachstelle authentifizierten Angreifern mit Rechten der Manager-Rolle oder höheren und Zugriff auf das Konfigurationswerkzeug oder der TMOS Shell (tmsh) ermöglicht, ihre Rechte auszuweiten und das BIG-IP-System zu kompromittieren" (CVE-2024-45844, CVSS 8.6, Risiko "hoch"). Bei der Schwachstelle handelt es sich demnach um eine fehlende Authentifizierung für eine kritische Funktion (CWE-306).
Verwundbare und nicht betroffene Geräte
Verwundbar sind den F5-Entwicklern zufolge demnach F5 BIG-IP in den Versionen 15.1.0 bis 15.1.10, 16.1.0 bis 16.1.4 und 17.1.0 bis 17.1.1. Die betroffene Komponente respektive Funktion "Monitors" enthält die Sicherheitsfixes in F5 BIG-IP 15.1.10.5, 16.1.5 sowie 17.1.1.4. Das Unternehmen weist darauf hin, dass es lediglich Software untersucht, die noch nicht am Ende des technischen Supports angelangt ist. Ältere Software-Stände sollten daher zunächst auf noch unterstützte Fassungen aktualisiert werden.
F5 listet außerdem als nicht betroffene Produkte BIG-IP Next (all modules), BIG-IP Next Central Manager sowie BIG-IP Next SPK und CNF auf. Dazu gehören ebenfalls BIG-IQ Centralized Management, F5 Distributed Cloud, F5 Silverline, NGINX One Console, F5OS-A, F5OS-C, NGINX und schließlich Traffix SDC.
In der Sicherheitsmitteilung nennen die Entwickler zudem potenzielle temporäre Gegenmaßnahmen, die IT-Verantwortliche umsetzen sollten, sofern sie die Updates nicht unmittelbar installieren können. Das fängt damit an, Zugriff nur absolut vertrauenswürdigen Personen zu gewähren. Zudem sollte der Zugriff auf das BIG-IP Konfigurationswerkzeug und SSH per IP-Adressen ausschließlich vertrauenswürdigen Netzen oder Geräten gestattet werden.
Mitte August hatte F5 in den BIG-IP- und BIG-IP-Next-Appliances Schwachstellen ausgebessert, durch die Angreifer Netzwerke hätten kompromittieren können. Es waren dort gleich mehrere Produktreihen des Unternehmens von teils hochriskanten Sicherheitslücken betroffen.
(dmk)