Patchday F5: Sicherheitslücken in BIG-IP ermöglichen Angreifern Codeausführung
F5 hat mehrere Sicherheitsmeldungen zu Lecks in BIG-IP-Appliances und -Software veröffentlicht. Aktualisierungen stehen bereit.
(Bild: Photon photo/Shutterstock.com)
Zahlreiche Schwachstsellen hat F5 im Oktober in den BIG-IP-Produkten gemeldet. Allein zehn Meldungen betreffen Lücken mit hohem Risiko, eine davon unter Umständen sogar kritisch, sechs weitere behandeln mittelschwere Schwachstellen.
Die gravierendste Lücke betrifft das BIG-IP-Konfigurationswerkzeug. Aufgrund einer Directory-Traversal-Schwachstelle können angemeldete Angreifer Befehle auf einem BIG-IP-System ausführen. Sofern das BIG-IP-System im Appliance-Modus läuft, lassen sich dabei auch Sicherheitsmaßnahmen umgehen (CVE-2023-41737, CVSS 9.9 im Appliance-Modus, Risiko "kritisch"; CVSS 8.8, "hoch", im Standard-Modus).
F5 BIG-IP: Verwundbarer Appliance-Modus
Ebenfalls im Appliance-Modus von BIG-IP-Systemen können angemeldete Nutzer mit der Administrator-Rolle Einschränkungen des Appliance-Modus umgehen (CVE-2023-43746, CVSS 8.7, hoch). Da Session-Cookies angemeldeter Nutzer eine gewisse Zeit nach dem Log-out aus der Viprion-Plattform weiterhin gültig sind, können Angreifer ohne vorherige Authentifzierung mit Zugriff auf den Management-Port und -IP beliebige Befehle ausführen, Dateien anlegen oder löschen oder Dienste deaktivieren (CVE-2023-40537, CVSS 8.1, hoch).
IT-Verantwortliche mit F5 BIG-IP-Systemen sollten die Sicherheitsmeldungen des Herstellers prüfen und gegebenenfalls zügig die bereitstehenden Aktualisierungen anwenden. Der Hersteller listet die Lücken, deren Schweregrad, betroffene Produkte und Versionen sowie die fehlerbereinigten Versionsstände auf einer Webseite von F5 übersichtlich auf.
Im August hatte F5 sechs Sicherheitsbenachrichtigungen zu Schwachstellen in den BIG-IP-Produkten veröffentlicht. Angreifer konnten dadurch etwa Passwörter erraten.
(dmk)
