F5 призвала клиентов применить патчи для критических уязвимостей в ПО BIG-IP

Ведущий поставщик оборудования для корпоративных сетей F5 Networks сообщил о четырех уязвимостях удаленного выполнения кода, затрагивающих большинство версий программного обеспечения BIG-IP и BIG-IQ.

Интерфейс iControl REST содержит уязвимость неаутентифицированного удаленного выполнения команд. Проблема получила оценку в 9,8 балла по шкале CVSS.

Traffic Management User Interface (TMUI), запущенный в режиме Appliance, также содержит уязвимость аутентифицированного удаленного выполнения команд ( CVE-2021-22987 ), получившую оценку в 9,9 балла по шкале CVSS.

Нераскрытые запросы к виртуальному серверу могут некорректно обрабатываться нормализацией URI в Traffic Management Microkernel (TMM), что может вызвать переполнение буфера и позволить злоумышленнику осуществить DoS-атаке ( CVE-2021-22991 ). В определенных ситуациях теоретически можно обойти контроль доступа на основе URL-адреса или удаленно выполнить код. Проблема получила оценку в 9,0 балла по шкале CVSS.

Злоумышленники могут отправить вредоносный HTTP-ответ на виртуальный сервер ASM Advanced WAF/BIG-IP со страницей входа и вызвать переполнение буфера, что приведет к DoS-атаке. В определенных ситуациях уязвимость также позволяет удаленно выполнить код (RCE). Проблема получила оценку в 9,0 балла по шкале CVSS.

К четырем критическим уязвимостям также относится проблема ( CVE-2021-22986 ), эксплуатация которой позволяет удаленным неавторизованным злоумышленникам выполнять произвольные команды на скомпрометированных устройствах BIG-IP.

Успешная эксплуатация критических уязвимостей в BIG-IP может привести к полной компрометации системы, включая перехват трафика приложений контроллера и перемещение по внутренней сети.

Семь уязвимостей были исправлены в следующих версиях BIG-IP: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 и 11.6.5.3. Проблема CVE-2021-22986 также затрагивает BIG-IQ и была исправлена ​​в версиях 8.0.0, 7.1.0.3 и 7.0.0.2.