Big-IP-Produkte betroffen

F5-Schwachstelle ermöglicht Geräteübernahme

F5-Kunden sollten dringend Sicherheitsmaßnahmen ergreifen, da in den Big-IP-Produkten Schwachstellen gefunden wurden – erneut.
Von 
CSO | 10. Mai 2022 11:10 Uhr
Über eine neue Schwachstelle in F5 Big-IP können Cyberangreifer die Kontrolle über fremde Geräte erlangen.
Über eine neue Schwachstelle in F5 Big-IP können Cyberangreifer die Kontrolle über fremde Geräte erlangen.
Foto: FOTOKITA - shutterstock.com

Ein Policy Manager, ein Firewall Manager, ein Application Security Manager und Secure Web Gateway Services gehören zur Produktfamilie Big-IP von F5. Das Unternehmen hat sich auf Anwendungssicherheit spezialisiert. Aufgrund einer Sicherheitslücke besteht jedoch das Risiko, dass die Dienste und Geräte von Cyberangreifern übernommen werden können.

Im Rahmen der vierteljährlichen Sicherheitsbenachrichtigung hat F5 die Sicherheitslücke CVE-2022-1388 entdeckt. Nutzen Kriminelle, die Schwachstelle aus, können sie die Authentifizierung für die Big-IP Software und Hardware umgehen und haben somit Zugriff auf die zentrale Geräteverwaltung. Von dort können sie belieBige Systembefehle ausführen, Dateien erstellen und löschen und Dienste deaktivieren.

Schadensbegrenzung für CVE-2022-1388

Der Security-Anbieter Tenable hat die Sicherheitslücke genauer unter die Lupe genommen: "Im Moment sind uns keine öffentlichen Exploits für CVE-2022-1388 bekannt. Es ist jedoch wahrscheinlich nur eine Frage der Zeit, bis Forscher und Bedrohungsakteure einen Proof-of-Concept-Exploit-Code für diese Schwachstelle entwickeln", sagt Claire Tills, Senior Research Engineer bei Tenable.

Deshalb empfiehlt es sich, der Anleitung zur Schadensbegrenzung für die Big-IP-Schwachstelle von F5 zu folgen. Einige akute Maßnahmen, um die Angriffsläche zu reduzieren, sind:

  • Blockieren des iControl Rest-Zugriffs über die eigene IP-Adresse

  • Blockieren des iControl Rest-Zugriffs über die Verwaltungsschnittstelle

  • Ändern der Big-IP httpd-Konfiguration (Dateiname der Konfigurationsdatei eines Apache HTTP Servers)

Um die Angriffsrisiken zu reduzieren, können Unternehmen den Zugriff auf die anfällige iControl REST-API auf vertrauenswürdige Netzwerke und Geräte beschränken. Generell ist es ratsam, den Zugriff auf Verwaltungsschnittstellen von nicht vertrauenswürdigen Netzwerken zu unterbinden. Auch eine Änderung der httpd-Konfiguration in Big-IP empfiehlt F5.

Diese Maßnahmen sollen Unternehmen ergreifen, wenn es für sie nicht möglich ist, die Sicherheitslücke direkt zu patchen. "Viele Organisationen halten sich an strenge Upgrade-Fenster, um Ausfallzeiten zu vermeiden, oder testen einen Patch erst in einer QA-Umgebung, um sicherzustellen, dass der Patch nicht zu unvorhergesehenen Unterbrechungen führt", erklärt Tills.

Tenable selbst stellt zudem online eine Liste mit Plugins bereit, die bei der Identifizierung der Sicherheitslücke helfen.

Nicht die erste Big-IP-Lücke

Bereits in den vergangenen zwei Jahren gab es Sicherheitslücken in den Big-IP-Produkten von F5, die ausgenutzt wurden:

  • CVE-2021-22986 ist eine Fehlkonfiguration in der iControl REST-Komponente von Big-IP.

  • CVE-2020-5902 beschreibt einen Fehler in der Big-IP-Benutzeroberfläche für die Verwaltung des Datenverkehrs.

Die Sicherheitslücke CVE-2020-5902 wurde sogar so oft ausgenutzt, dass der Security-Anbieter Tenable sie in die Top 5 Schwachstellen des Jahres 2020 aufnahm.

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.