Neue Sicherheitslücken in BIG-IP-Appliances entdeckt
BIG-IP-Appliances von F5 sind derzeit von Angriffen betroffen, die mithilfe von zwei kritischen Sicherheitslücken ausgeführt werden können. Dies hat der Netzwerkhersteller F5 bekannt gegeben und Sicherheitspatches zum Schutz vor diesen Angriffen veröffentlicht.
Diese Sicherheitslücken wurden Ende Oktober 2023 entdeckt und können es Angreifern ermöglichen, auf die betroffenen Geräte zuzugreifen und ihre eigenen Befehle auszuführen. Dabei handelt es sich um Schwachstellen im Konfigurationsprogramm von BIG-IP, das in allen Modulen vorhanden ist. Es wurde jedoch festgestellt, dass andere Produkte des Unternehmens von diesen Lücken nicht betroffen sind.
Um die kritische Lücke ausnutzen zu können, benötigen die Angreifer Zugriff auf den Management-Port des Netzwerks, jedoch keine Authentifizierung. Sobald sie Zugriff haben, können sie beliebige Befehle ausführen und die Appliances manipulieren.
Um betroffene Systeme zu erkennen, sollten Netzwerkadministratoren nach den folgenden Einträgen im Log-Verzeichnis (/var/log/tomcat/catalina.out) suchen:
– java.sql.SQLException: Column not found: 0.
– sh: no job control in this shell
– sh-4.2$
– sh-4.2$ exit.
Es sollte jedoch beachtet werden, dass Angreifer ihre Spuren beseitigen können und dass Systeme auch ohne diese Einträge kompromittiert sein können.
F5 hat Sicherheitsupdates veröffentlicht, um diese Sicherheitslücken zu schließen. Es wird dringend empfohlen, die folgenden Versionsnummern einzusetzen:
– 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG
– 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG
– 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG
– 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG
– 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG
Wenn ältere Versionen verwendet werden, steht ein Skript von F5 zur Verfügung, mit dem das Konfigurationsprogramm deaktiviert und der Angriffspunkt beseitigt werden kann.
FAQs
Welches Produkt ist von den Sicherheitslücken betroffen?
Die beiden Sicherheitslücken betreffen das Konfigurationsprogramm von BIG-IP-Appliances von F5. Andere Produkte des Unternehmens sind gemäß den aktuellen Informationen nicht betroffen.
Was können Angreifer mit den Sicherheitslücken anrichten?
Mithilfe dieser Lücken können Angreifer auf die betroffenen Geräte zugreifen und ihre eigenen Befehle ausführen. Dadurch können sie die Appliances manipulieren und Schaden anrichten.
Wie können betroffene Systeme erkannt werden?
Netzwerkadministratoren sollten nach bestimmten Einträgen im Log-Verzeichnis (/var/log/tomcat/catalina.out) suchen, um kompromittierte Systeme zu erkennen. Diese Einträge können jedoch von Angreifern beseitigt werden, daher sollten auch andere Anzeichen für eine Kompromittierung berücksichtigt werden.
Was sollte ich tun, um meine Systeme zu schützen?
Es wird dringend empfohlen, die Sicherheitsupdates von F5 zu installieren, um die Sicherheitslücken zu schließen. Zusätzlich steht ein Skript zur Verfügung, um das Konfigurationsprogramm bei älteren Versionen zu deaktivieren und den Angriffspunkt zu beseitigen.
