Kritisk sårbarhet i Big-IP-enheter utnyttes i nye angrep

Det er umulig for brukerne å vite om enhetene er kompromittert.

Alle nyere Big-IPO-systemer fra F5 er berørt av den kritiske sårbarheten. Foto: F5

Del

10. mai 2022 - 11:00 | Endret 11. mai 2022 - 11:33

Brukere av Big-IP-produktene til F5 bør snarest installere en sikkerhetsoppdatering som selskapet kom med i forrige uke. Oppdateringen fjerner en svært alvorlig sårbarhet (CVE-2022-1388) som gjør det mulig for angripere å fjernutføre kommandoer med root-privilegier. Sårbarheten skyldes oppsiktsvekkende feil (se tvitringen nedenfor) i autentiseringsfunksjonen til iControl REST, et webbasert programmeringsgrensnitt for konfigurasjon og administrasjon av enhetene.

To summarize:
- The /mgmt/tm/util/bash endpoint is a feature that was decided was necessary
- No authentication is required for this endpoint
- The web server runs as root

And all of this passed the sanity checks at F5 and the product was shipped for $$$$
Am I missing anything? pic.twitter.com/W55w0vMTAi
— Will Dormann (@wdormann) May 9, 2022

Big-IP er en serie med fysiske enheter som brukes til en rekke forskjellige oppgaver, inkludert lastbalansering, kryptering, DNS og brannmur.

Sikkerhetsforskere og entusiaster leter fram security.txt for å vite hvem de skal kontakte. Skatteetaten vil nå begynne å svare.

Les også

Prøvde å varsle Skattetaten om sårbarhet. Fire måneder senere venter han fortsatt på svar

Skal ikke være eksponert på internett

Nettstedet Ars Technica viser til flere rapporter om faktiske angrep. Der oppgis det også at det finnes mer enn 16.000 slike enheter som er direkte eksponert på internett. Men det er slik at det kun er det administrative grensesnittet ( Control Plane) som er berørt av sårbarheten, og dette skal aldri være eksponert mot internett.

– Vi er i nær kontakt med våre kunder i Norge. De opplever sårbarheten som alvorlig, men uten konsekvenser for sine applikasjoner og tjenester. F5 BIG-IP benyttes foran mange samfunnskritiske tjenester i Norge, og håndteres således av svært profesjonelle IT-miljøer som er svært nøye med å sikre sine administrasjons tilganger, opplyser Jon Bjørnland, storkundeansvarlig for F5 i Norge, i en e-post til Digi.no.

Ifølge F5 er det mulig for dyktige angripere å fjerne alle spor etter en inntrengning.

– Det er umulig å bevise at en enhet ikke er kompromittert. Dersom du er usikker, anse enheten for å være kompromitter, er rådet fra selskapet.

Det skal være mulig å sjekke om Big-IP-enheten er berørt av sårbarheten ved å kjøre et skript som er oppgitt på denne siden.

Artikkelen fortsetter etter annonsen

annonsørinnhold

Nye PC-er visker ut forskjellene mellom fysiske og virtuelle møter

11. mai 2022: Saken er oppdatert med at det kun er det administrative grensesnittet som er sårbart og en uttalelse fra F5 i Norge.

Seksjonssjef Inger Vollstad i Nasjonal kommunikasjonsmyndighet sier folk kjøper stadig større datapakker til mobilen.

Les også

Nordmenn kjøper mer mobildata

Les mer om:

BIG-IP F5 SIKKERHET

Del

Kommentarer:

Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.

En tjeneste fra