10 марта F5 анонсировали миру о новых уязвимостях в устройствах BIG-IP и BIG-IQ: удаленного исполнения команд в интерфейсе iControl REST и Traffic Management Interface, и две уязвимости переполнения буфера. Шесть из семи перечисленных уязвимостей получили балл критичности 8.0 или выше в системе оценки уязвимостей CVSS.
Уязвимости:
K03009991: iControl REST unauthenticated remote command execution vulnerability CVE-2021-22986
K18132488: Appliance Mode TMUI authenticated remote command execution vulnerability CVE-2021-22987
K70031188: TMUI authenticated remote command execution vulnerability CVE-2021-22988
K56142644: Appliance mode Advanced WAF/ASM TMUI authenticated remote command execution vulnerability CVE-2021-22989
K45056101: Advanced WAF/ASM TMUI authenticated remote command execution vulnerability CVE-2021-22990
касаются Management GUI F5 и не могут быть полностью устранены без обновления. Те, кто имеет доступ к GUI консоли управления F5 через Management или self IP интерфейсы, например, по причине их открытого доступа извне, или изнутри защищенной сети, потенциально могут реализовать данные уязвимости. Угрозу извне можно уменьшить, предоставляя доступ к Management интерфейсу только внутренним сотрудникам, а на self IP интерфейсах использовать параметр доступа "Allow None" или "Allow Custom" без разрешения доступа по порту 443.
Следующие уязвимости:
K56715231: TMM buffer-overflow vulnerability CVE-2021-22991
K52510511: Advanced WAF/ASM buffer-overflow vulnerability CVE-2021-22992
касаются Data Plane и могут быть реализованы через пользовательские запросы к сервисам, находящимся за F5. Уязвимость AWAF/ASM может быть закрыта применением iRule, указанным в статье, в то время как уязвимость TMM buffer overflow не имеет плана устранения без обновления к версии с патчем.
Патчи доступны для всех семи «пробоин» для BIG-IP версий 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 и 11.6.5.3. Уязвимость iControl REST также влияет на BIG-IQ, и патчи доступны для версий 8.0.0, 7.1.0.3 и 7.0.0.2.