| Описание уязвимости | Уязвимость интерфейса iControl REST API средств защиты приложений BIG-IP связана с неверным сроком действия сеанса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды, отключить произвольные службы, создавать или удалять произвольные файлы |
| Вендор | F5 Networks, Inc. |
| Наименование ПО | BIG-IQ Centralized Management, BIG-IP Access Policy Manager, BIG-IP Advanced Firewall Manager, BIG-IP Analytics, BIG-IP Application Acceleration Manager, BIG-IP Application Security Manager, BIG-IP Domain Name System, BIG-IP Fraud Protection Service, BIG-IP Global Traffic Manager, BIG-IP Link Controller, BIG-IP Local Traffic Manager, BIG-IP Policy Enforcement Manager |
| Версия ПО | от 7.0.0 до 7.1.0 включительно (BIG-IQ Centralized Management), от 13.1.0 до 13.1.5 включительно (BIG-IP Access Policy Manager), от 14.1.0 до 14.1.5.1 (BIG-IP Access Policy Manager), от 15.1.0 до 15.1.6.1 (BIG-IP Access Policy Manager), от 16.1.0 до 16.1.3.1 (BIG-IP Access Policy Manager), от 17.0.0 до 17.0.0.1 (BIG-IP Access Policy Manager), от 13.1.0 до 13.1.5 включительно (BIG-IP Advanced Firewall Manager), от 14.1.0 до 14.1.5.1 (BIG-IP Advanced Firewall Manager), от 15.1.0 до 15.1.6.1 (BIG-IP Advanced Firewall Manager), от 16.1.0 до 16.1.3.1 (BIG-IP Advanced Firewall Manager), от 17.0.0 до 17.0.0.1 (BIG-IP Advanced Firewall Manager), от 13.1.0 до 13.1.5 включительно (BIG-IP Analytics), от 14.1.0 до 14.1.5.1 (BIG-IP Analytics), от 15.1.0 до 15.1.6.1 (BIG-IP Analytics), от 16.1.0 до 16.1.3.1 (BIG-IP Analytics), от 17.0.0 до 17.0.0.1 (BIG-IP Analytics), от 13.1.0 до 13.1.5 включительно (BIG-IP Application Acceleration Manager), от 14.1.0 до 14.1.5.1 (BIG-IP Application Acceleration Manager), от 15.1.0 до 15.1.6.1 (BIG-IP Application Acceleration Manager), от 16.1.0 до 16.1.3.1 (BIG-IP Application Acceleration Manager), от 17.0.0 до 17.0.0.1 (BIG-IP Application Acceleration Manager), от 13.1.0 до 13.1.5 включительно (BIG-IP Application Security Manager), от 14.1.0 до 14.1.5.1 (BIG-IP Application Security Manager), от 15.1.0 до 15.1.6.1 (BIG-IP Application Security Manager), от 16.1.0 до 16.1.3.1 (BIG-IP Application Security Manager), от 17.0.0 до 17.0.0.1 (BIG-IP Application Security Manager), от 13.1.0 до 13.1.5 включительно (BIG-IP Domain Name System), от 14.1.0 до 14.1.5.1 (BIG-IP Domain Name System), от 15.1.0 до 15.1.6.1 (BIG-IP Domain Name System), от 16.1.0 до 16.1.3.1 (BIG-IP Domain Name System), от 17.0.0 до 17.0.0.1 (BIG-IP Domain Name System), от 13.1.0 до 13.1.5 включительно (BIG-IP Fraud Protection Service), от 14.1.0 до 14.1.5.1 (BIG-IP Fraud Protection Service), от 15.1.0 до 15.1.6.1 (BIG-IP Fraud Protection Service), от 16.1.0 до 16.1.3.1 (BIG-IP Fraud Protection Service), от 17.0.0 до 17.0.0.1 (BIG-IP Fraud Protection Service), от 13.1.0 до 13.1.5 включительно (BIG-IP Global Traffic Manager), от 14.1.0 до 14.1.5.1 (BIG-IP Global Traffic Manager), от 15.1.0 до 15.1.6.1 (BIG-IP Global Traffic Manager), от 16.1.0 до 16.1.3.1 (BIG-IP Global Traffic Manager), от 17.0.0 до 17.0.0.1 (BIG-IP Global Traffic Manager), от 13.1.0 до 13.1.5 включительно (BIG-IP Link Controller), от 14.1.0 до 14.1.5.1 (BIG-IP Link Controller), от 15.1.0 до 15.1.6.1 (BIG-IP Link Controller), от 16.1.0 до 16.1.3.1 (BIG-IP Link Controller), от 17.0.0 до 17.0.0.1 (BIG-IP Link Controller), от 13.1.0 до 13.1.5 включительно (BIG-IP Local Traffic Manager), от 14.1.0 до 14.1.5.1 (BIG-IP Local Traffic Manager), от 15.1.0 до 15.1.6.1 (BIG-IP Local Traffic Manager), от 16.1.0 до 16.1.3.1 (BIG-IP Local Traffic Manager), от 17.0.0 до 17.0.0.1 (BIG-IP Local Traffic Manager), от 13.1.0 до 13.1.5 включительно (BIG-IP Policy Enforcement Manager), от 14.1.0 до 14.1.5.1 (BIG-IP Policy Enforcement Manager), от 15.1.0 до 15.1.6.1 (BIG-IP Policy Enforcement Manager), от 16.1.0 до 16.1.3.1 (BIG-IP Policy Enforcement Manager), от 17.0.0 до 17.0.0.1 (BIG-IP Policy Enforcement Manager), от 8.0.0 до 8.2.0 (BIG-IQ Centralized Management) |
| Тип ПО | Средство защиты, Программное средство защиты, ПО сетевого программно-аппаратного средства, Сетевое средство, Сетевое программное средство |
| Операционные системы и аппаратные платформы | Данные уточняются |
| Тип ошибки | Неверный срок действия сеанса |
| Идентификатор типа ошибки | CWE-613 |
| Класс уязвимости | Уязвимость кода |
| Дата выявления | 03.08.2022 |
| Базовый вектор уязвимости |
|
| Уровень опасности уязвимости | Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,7) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10) |
| Возможные меры по устранению уязвимости |
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - блокирование доступа к iControl REST через интерфейс управления; - блокирование доступа к iControl REST через собственный IP-адрес. Для этого необходимо изменить настройку "Port Lockdown" на "Allow None" для каждого IP-адреса. Если необходимо открыть какие-либо порты, следует использовать параметр "Allow Custom", чтобы запретить доступ к iControl REST. По умолчанию iControl REST прослушивает TCP-порт 443 или TCP-порт 8443. Использование рекомендаций: https://support.f5.com/csp/article/K55580033 |
| Статус уязвимости | Подтверждена производителем |
| Наличие эксплойта | Данные уточняются |
| Способ эксплуатации |
|
| Способ устранения | Обновление программного обеспечения |
| Информация об устранении | Уязвимость устранена |
| Ссылки на источники | |
| Идентификаторы других систем описаний уязвимостей |
|
| Прочая информация | Данные уточняются |