Remote code execution in F5 BIG-IP servers

Op zaterdag 4 juli is er door onderzoekers van Positive Technologies de kwetsbaarheid (CVE-2020-5902) bekend gemaakt. De kwetsbaarheid maakt het mogelijk voor ongeautoriseerde kwaadwillende om code uit te voeren op het systeem. De volgende versies van BIG-IP zijn kwetsbaar: 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, en 11.6.1-11.6.5.1.

Volgens het CVSS krijgt de kwetsbaarheid de hoogst mogelijke score, een 10 van de 10.

De kwetsbaarheid bevindt zich in de BIG-IP traffic Management User Interface (TMUI). De TMUI is een interface die gebruikt wordt binnen de application delivery controller (ADC) van BIG-IP. De application delivery controller (ADC) functioneert als een laag tussen de applicatie en de firewall in. Vaak wordt het gebruikt voor load-balancing tussen servers of voor applicatie-acceleratie (optimaliseren van datastromen).

De kwetsbaarheid krijgt de hoogst mogelijk score omdat het voor een kwaadwillende mogelijk is om zonder inloggegevens het systeem uit te buiten. Kwetsbare servers lopen dus direct gevaar. In veel gevallen zullen de management interfaces ook direct benaderbaar zijn vanaf het internet.

Dit weekend hebben een groot aantal onderzoekers en kwaadwillende de kwetsbaarheid geanalyseerd en hier code voor geschreven. Omdat de kwetsbaarheid niet erg complex is, is de kans op uitbuiting vele malen hoger. Het succesvol uitbuiten van de kwetsbaarheid kost weinig kennis en tijd.

Advies

Wij adviseren om de volgende stappen te ondernemen:

  • Update de versie van BIG-IP naar de meest recente versie
  • Indien het niet mogelijk is om te upgraden is het aan te raden om de mitigerende maatregelen van F5 op te volgen (zie onderstaande link)

Zie voor meer informatie de pagina van BIG-IP:
https://support.f5.com/csp/article/K52145254

Vragen?

Neem contact op via advies@lbvd.nl

Opdrachtgevers