F5 BIG-IP kwetsbaarheid

De kwetsbaarheid heeft een CVSSv3-score van 9,8. De CVSS-schaal loopt van 0 t/m 10. Een score van 9,8 of hoger is zeldzaam en kent doorgaans een grote kans op uitbuiting met grote impact.

De kwetsbaarheid geeft een unauthenticated attacker de mogelijkheid voor remote code execution met root-rechten. Toegang tot de iControl REST API via de management-port en/of het self-IP-adress van de F5 BIG-IP oplossing is hiervoor vereist. In de meeste implementaties is directe toegang tot deze API vanaf het internet niet mogelijk.

Echter, het beperken van de toegang tot de management-port en/of het self-IP-adress verlaagt de kans op uitbuiting; privilege escalation of lateral movement is nog steeds mogelijk wanneer een aanvaller reeds toegang heeft tot interne systemen.

Op basis van de F5 security advisory zijn de volgende producten en versies kwetsbaar:

• F5 BIG-IP versies 16.1.0 – 16.1.2
• F5 BIG-IP versies 15.1.0 – 15.1.5
• F5 BIG-IP versies 14.1.0 – 14.1.4
• F5 BIG-IP versies 13.1.0 – 13.1.4
• F5 BIG-IP versies 12.1.0 – 12.1.6
• F5 BIG-IP versies 11.6.1 – 11.6.5

F5 BIG-IP versie 17 lijkt niet getroffen door deze kwetsbaarheid.

F5 heeft software patches beschikbaar gesteld, welke de kwetsbaarheid verhelpen voor F5 BIG-IP versies 13.x t/m 16.x. Het advies is om deze patches zo snel mogelijk te installeren. De kwetsbaarheid is verholpen in de volgende softwareversies:

• F5 BIG-IP versie 16.x – 16.1.2.2
• F5 BIG-IP versie 15.x – 15.1.5.1
• F5 BIG-IP versie 14.x – 14.1.4.6
• F5 BIG-IP versie 13.x – 13.1.5

Er worden geen patches beschikbaar gesteld voor de versies 11.x en 12.x. Het security advisory van F5 beschrijft ook een aantal workarounds voor deze versies en andere situaties waarin het niet mogelijk is om de patches te installeren.

Meer informatie:

• F5 security advisory
• NCSC advisory