Jetzt patchen! Attacken auf F5 BIG-IP-Systeme könnten bevorstehen
Sicherheitsforscher habe in vergleichsweise kurzer Zeit Exploit-Code entwickelt. Das könnten Angreifer auch. Admins sollten BIP-IP-Produkte aktualisieren.
Angreifer könnten zeitnah BIG-IP-Systeme von F5 attackieren und im schlimmsten Fall die volle Kontrolle erlangen. Sicherheitsupdates sind verfügbar.
Der Grund für die Warnung ist, dass Sicherheitsforscher von Horizon3 und PT Swarm eigenen Angaben zufolge in überschaubarer Zeit Exploit-Code zum Ausnutzen der "kritischen" Lücke (CVE-2022-1388) entwickelt haben. Das legt nahe, dass Angreifer auf einem ähnlichen Stand sind und in kürzester Zeit Systeme attackieren könnten. [UPDATE] Mittlerweile ist auch öffentlicher Exploit-Code in Umlauf.
Viele Systeme bedroht
Die Schwachstelle soll alle Module von BIG-IP betreffen. Nur BIG-IQ Centralized Management, F5OS-A, F5OS-C und Traffix SDC sollen nicht bedroht sein. Aufgrund von Fehlern in iControl REST könnten Angreifer am Verwaltungsport mit präparierten Anfragen ansetzen, um Systeme zu kompromittieren.
Attacken gelingen aus dem Netzwerk, sind theoretisch aber auch aus der Ferne möglich. Man sollte das Management-Interface aus Sicherheitsgründen nicht öffentlich über das Internet verfügbar machen. Einem Sicherheitsforscher von Rapid7 zufolge ist das weltweit bei mehr als 2500 Instanzen der Fall.
Jetzt updaten!
Admins sollte die seit Anfang Mai veröffentlichten Sicherheitsupdates umgehend installieren. Für 11.x und 12.x gibt es keine Sicherheitsupdates,
- BIG-IP 17.0.0
- BIG-IP 16.1.2.2
- BIG-IP 15.1.5.1
- BIG-IP 14.1.4.6
- BIG-IP 13.1.5
Wenn Admins die Patches derzeit nicht installieren können, sollten sie Systeme temporär über Workarounds absichern. Das funktioniert, indem sie den iControl-REST-Zugriff über die eigene IP-Adresse blockieren, den Zugriff über die Verwaltungsschnittstelle sperren oder die httpd-Konfiguration von BIG-IP anpassen.
[UPDATE 09.05.2022 11:00 Uhr]
Hinweis auf Public Exploit im Fließtext eingebaut.
(des)