F5 Networks telah mengatasi kerentanan kritis dalam perangkat jaringan BIG-IP-nya. Kerentanan dilacak sebagai CVE-2021-23031 adalah masalah eskalasi hak istimewa pada BIG-IP Advanced Web Application Firewall (WAF) dan Application Security Manager (ASM) Traffic Management User Interface (TMUI).
Cacat BIG-IP
Menurut penasihat keamanan, ketika kerentanan ini dieksploitasi, penyerang yang diautentikasi dengan akses ke utilitas Konfigurasi dapat menjalankan perintah sistem sewenang-wenang, membuat atau menghapus file, dan/atau menonaktifkan layanan.
Demikian pula, cacat ini dapat mengakibatkan kompromi sistem yang lengkap. Sistem BIG-IP memiliki opsi untuk berjalan dalam mode Appliance.
Mode alat ini dirancang untuk memenuhi kebutuhan pelanggan di, khususnya sektor sensitif dengan membatasi akses administratif sistem BIG-IP agar sesuai dengan peralatan jaringan biasa dan bukan perangkat UNIX multi-pengguna.
Cacat memiliki skor keparahan 8,8, namun, penasihat keamanan mengatakan, untuk pelanggan yang menggunakan Mode Peralatan, menerapkan beberapa batasan teknis, skor keparahan meningkat menjadi 9,9 dari 10.
Selain itu, hanya sejumlah kecil pelanggan yang terpengaruh oleh masalah dalam mode kritis.
“Jumlah terbatas pelanggan yang menggunakan mode Peralatan memiliki Cakupan: Berubah, yang meningkatkan skor CVSSv3 menjadi 9,9”, bunyi nasihat keamanan.
Produk | Cabang | Versi yang diketahui rentan1 | Perbaikan diperkenalkan di | Kerasnya | Skor CVSSv32 | Komponen atau fitur yang rentan |
BIG-IP (WAF dan ASM Lanjut) | 16.x | 16.0.0 – 16.0.1 | 16.1.0 16.0.1.2 |
Tinggi — Kritis – Hanya mode peralatan3 | 8.8 — 9.93 | Utilitas TMUI/Konfigurasi |
15.x | 15.1.0 – 15.1.2 | 15.1.3 | ||||
14.x | 14.1.0 – 14.1.4 | 14.1.4.1 | ||||
13.x | 13.1.0 – 13.1.3 | 13.1.4 | ||||
12.x | 12.1.0 – 12.1.5 | 12.1.6 | ||||
11.x | 11.6.1 – 11.6.5 | 11.6.5.3 | ||||
BIG-IP (semua modul lainnya) | 16.x | Tidak ada | Tak dapat diterapkan | Tidak rentan | Tidak ada | Tidak ada |
15.x | Tidak ada | Tak dapat diterapkan | ||||
14.x | Tidak ada | Tak dapat diterapkan | ||||
13.x | Tidak ada | Tak dapat diterapkan | ||||
12.x | Tidak ada | Tak dapat diterapkan | ||||
11.x | Tidak ada | Tak dapat diterapkan | ||||
Manajemen Terpusat BIG-IQ | 8.x | Tidak ada | Tak dapat diterapkan | Tidak rentan4 | Tidak ada | Tidak ada |
7.x | Tidak ada | Tak dapat diterapkan | ||||
6.x | Tidak ada | Tak dapat diterapkan | ||||
F5OS | 1.x | Tidak ada | Tak dapat diterapkan | Tidak rentan | Tidak ada | Tidak ada |
Trafik SDC | 5.x | Tidak ada | Tak dapat diterapkan | Tidak rentan | Tidak ada | Tidak ada |
Daftar Masalah yang Ditangani oleh F5
F5 menyebutkan bahwa pengguna dapat menghilangkan kerentanan ini dengan menginstal versi yang tercantum di kolom Perbaikan.
F5 mengatasi 30 kerentanan tingkat tinggi di beberapa produk, yang mencakup kelemahan eksekusi perintah jarak jauh yang diautentikasi, masalah skrip lintas situs (XSS), masalah pemalsuan permintaan, izin yang tidak memadai, dan kelemahan penolakan layanan.
Mitigasi
F5 menyatakan bahwa satu-satunya mitigasi adalah menghapus akses bagi pengguna yang tidak sepenuhnya dipercaya karena serangan ini dilakukan oleh pengguna yang sah dan diautentikasi.
- Blokir akses utilitas Konfigurasi melalui alamat IP mandiri.
- Blokir akses utilitas Konfigurasi melalui antarmuka manajemen Mitigasi ini membatasi akses ke utilitas Konfigurasi hanya untuk jaringan atau perangkat tepercaya, sehingga membatasi permukaan serangan.