BDU:2022-04970: Уязвимость интерфейса iControl REST API средств защиты приложений BIG-IP, позволяющая нарушителю выполнить произвольные команды, отключить произвольные службы, создавать или удалять произвольные файлы

Описание уязвимости

Уязвимость интерфейса iControl REST API средств защиты приложений BIG-IP связана с неверным сроком действия сеанса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды, отключить произвольные службы, создавать или удалять произвольные файлы

Вендор

F5 Networks, Inc.

Наименование ПО

BIG-IQ Centralized Management, BIG-IP Access Policy Manager, BIG-IP Advanced Firewall Manager, BIG-IP Analytics, BIG-IP Application Acceleration Manager, BIG-IP Application Security Manager, BIG-IP: Domain Name System, BIG-IP Fraud Protection Service, BIG-IP Global Traffic Manager, BIG-IP Link Controller, BIG-IP Local Traffic Manager, BIG-IP Policy Enforcement Manager

Версия ПО

  • от 7.0.0 до 7.1.0 включительно (BIG-IQ Centralized Management)
  • от 13.1.0 до 13.1.5 включительно (BIG-IP Access Policy Manager)
  • от 14.1.0 до 14.1.5.1 (BIG-IP Access Policy Manager)
  • от 15.1.0 до 15.1.6.1 (BIG-IP Access Policy Manager)
  • от 16.1.0 до 16.1.3.1 (BIG-IP Access Policy Manager)
  • от 17.0.0 до 17.0.0.1 (BIG-IP Access Policy Manager)
  • от 13.1.0 до 13.1.5 включительно (BIG-IP Advanced Firewall Manager)
  • от 14.1.0 до 14.1.5.1 (BIG-IP Advanced Firewall Manager)
  • от 15.1.0 до 15.1.6.1 (BIG-IP Advanced Firewall Manager)
  • от 16.1.0 до 16.1.3.1 (BIG-IP Advanced Firewall Manager)
  • от 17.0.0 до 17.0.0.1 (BIG-IP Advanced Firewall Manager)
  • от 13.1.0 до 13.1.5 включительно (BIG-IP Analytics)
  • от 14.1.0 до 14.1.5.1 (BIG-IP Analytics)
  • от 15.1.0 до 15.1.6.1 (BIG-IP Analytics)
  • от 16.1.0 до 16.1.3.1 (BIG-IP Analytics)
  • от 17.0.0 до 17.0.0.1 (BIG-IP Analytics)
  • от 13.1.0 до 13.1.5 включительно (BIG-IP Application Acceleration Manager)
  • от 14.1.0 до 14.1.5.1 (BIG-IP Application Acceleration Manager)
  • от 15.1.0 до 15.1.6.1 (BIG-IP Application Acceleration Manager)
  • от 16.1.0 до 16.1.3.1 (BIG-IP Application Acceleration Manager)
  • от 17.0.0 до 17.0.0.1 (BIG-IP Application Acceleration Manager)
  • от 13.1.0 до 13.1.5 включительно (BIG-IP Application Security Manager)
  • от 14.1.0 до 14.1.5.1 (BIG-IP Application Security Manager)
  • от 15.1.0 до 15.1.6.1 (BIG-IP Application Security Manager)
  • от 16.1.0 до 16.1.3.1 (BIG-IP Application Security Manager)
  • от 17.0.0 до 17.0.0.1 (BIG-IP Application Security Manager)
  • от 13.1.0 до 13.1.5 включительно (BIG-IP: Domain Name System)
  • от 14.1.0 до 14.1.5.1 (BIG-IP: Domain Name System)
  • от 15.1.0 до 15.1.6.1 (BIG-IP: Domain Name System)
  • от 16.1.0 до 16.1.3.1 (BIG-IP: Domain Name System)
  • от 17.0.0 до 17.0.0.1 (BIG-IP: Domain Name System)
  • от 13.1.0 до 13.1.5 включительно (BIG-IP Fraud Protection Service)
  • от 14.1.0 до 14.1.5.1 (BIG-IP Fraud Protection Service)
  • от 15.1.0 до 15.1.6.1 (BIG-IP Fraud Protection Service)
  • от 16.1.0 до 16.1.3.1 (BIG-IP Fraud Protection Service)
  • от 17.0.0 до 17.0.0.1 (BIG-IP Fraud Protection Service)
  • от 13.1.0 до 13.1.5 включительно (BIG-IP Global Traffic Manager)
  • от 14.1.0 до 14.1.5.1 (BIG-IP Global Traffic Manager)
  • от 15.1.0 до 15.1.6.1 (BIG-IP Global Traffic Manager)
  • от 16.1.0 до 16.1.3.1 (BIG-IP Global Traffic Manager)
  • от 17.0.0 до 17.0.0.1 (BIG-IP Global Traffic Manager)
  • от 13.1.0 до 13.1.5 включительно (BIG-IP Link Controller)
  • от 14.1.0 до 14.1.5.1 (BIG-IP Link Controller)
  • от 15.1.0 до 15.1.6.1 (BIG-IP Link Controller)
  • от 16.1.0 до 16.1.3.1 (BIG-IP Link Controller)
  • от 17.0.0 до 17.0.0.1 (BIG-IP Link Controller)
  • от 13.1.0 до 13.1.5 включительно (BIG-IP Local Traffic Manager)
  • от 14.1.0 до 14.1.5.1 (BIG-IP Local Traffic Manager)
  • от 15.1.0 до 15.1.6.1 (BIG-IP Local Traffic Manager)
  • от 16.1.0 до 16.1.3.1 (BIG-IP Local Traffic Manager)
  • от 17.0.0 до 17.0.0.1 (BIG-IP Local Traffic Manager)
  • от 13.1.0 до 13.1.5 включительно (BIG-IP Policy Enforcement Manager)
  • от 14.1.0 до 14.1.5.1 (BIG-IP Policy Enforcement Manager)
  • от 15.1.0 до 15.1.6.1 (BIG-IP Policy Enforcement Manager)
  • от 16.1.0 до 16.1.3.1 (BIG-IP Policy Enforcement Manager)
  • от 17.0.0 до 17.0.0.1 (BIG-IP Policy Enforcement Manager)
  • от 8.0.0 до 8.2.0 (BIG-IQ Centralized Management)

Тип ПО

Средство защиты, Программное средство защиты, ПО сетевого программно-аппаратного средства, Сетевое средство, Сетевое программное средство

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Неверный срок действия сеанса

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

03.08.2022

Базовый вектор уязвимости

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,7)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- блокирование доступа к iControl REST через интерфейс управления;
- блокирование доступа к iControl REST через собственный IP-адрес. Для этого необходимо изменить настройку "Port Lockdown" на "Allow None" для каждого IP-адреса. Если необходимо открыть какие-либо порты, следует использовать параметр "Allow Custom", чтобы запретить доступ к iControl REST. По умолчанию iControl REST прослушивает TCP-порт 443 или TCP-порт 8443.

Использование рекомендаций:
https://support.f5.com/csp/article/K55580033

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Манипулирование сроками и состоянием

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения