Описание
Уязвимость интерфейса iControl REST API средств защиты приложений BIG-IP связана с неверным сроком действия сеанса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды, отключить произвольные службы, создавать или удалять произвольные файлы
Вендор
F5 Networks, Inc.
Наименование ПО
BIG-IQ Centralized Management
BIG-IP Access Policy Manager
BIG-IP Advanced Firewall Manager
BIG-IP Analytics
BIG-IP Application Acceleration Manager
BIG-IP Application Security Manager
BIG-IP Domain Name System
BIG-IP Fraud Protection Service
BIG-IP Global Traffic Manager
BIG-IP Link Controller
BIG-IP Local Traffic Manager
BIG-IP Policy Enforcement Manager
Версия ПО
от 7.0.0 до 7.1.0 включительно (BIG-IQ Centralized Management)
от 13.1.0 до 13.1.5 включительно (BIG-IP Access Policy Manager)
от 14.1.0 до 14.1.5.1 (BIG-IP Access Policy Manager)
от 15.1.0 до 15.1.6.1 (BIG-IP Access Policy Manager)
от 16.1.0 до 16.1.3.1 (BIG-IP Access Policy Manager)
от 17.0.0 до 17.0.0.1 (BIG-IP Access Policy Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Advanced Firewall Manager)
от 14.1.0 до 14.1.5.1 (BIG-IP Advanced Firewall Manager)
от 15.1.0 до 15.1.6.1 (BIG-IP Advanced Firewall Manager)
от 16.1.0 до 16.1.3.1 (BIG-IP Advanced Firewall Manager)
от 17.0.0 до 17.0.0.1 (BIG-IP Advanced Firewall Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Analytics)
от 14.1.0 до 14.1.5.1 (BIG-IP Analytics)
от 15.1.0 до 15.1.6.1 (BIG-IP Analytics)
от 16.1.0 до 16.1.3.1 (BIG-IP Analytics)
от 17.0.0 до 17.0.0.1 (BIG-IP Analytics)
от 13.1.0 до 13.1.5 включительно (BIG-IP Application Acceleration Manager)
от 14.1.0 до 14.1.5.1 (BIG-IP Application Acceleration Manager)
от 15.1.0 до 15.1.6.1 (BIG-IP Application Acceleration Manager)
от 16.1.0 до 16.1.3.1 (BIG-IP Application Acceleration Manager)
от 17.0.0 до 17.0.0.1 (BIG-IP Application Acceleration Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Application Security Manager)
от 14.1.0 до 14.1.5.1 (BIG-IP Application Security Manager)
от 15.1.0 до 15.1.6.1 (BIG-IP Application Security Manager)
от 16.1.0 до 16.1.3.1 (BIG-IP Application Security Manager)
от 17.0.0 до 17.0.0.1 (BIG-IP Application Security Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Domain Name System)
от 14.1.0 до 14.1.5.1 (BIG-IP Domain Name System)
от 15.1.0 до 15.1.6.1 (BIG-IP Domain Name System)
от 16.1.0 до 16.1.3.1 (BIG-IP Domain Name System)
от 17.0.0 до 17.0.0.1 (BIG-IP Domain Name System)
от 13.1.0 до 13.1.5 включительно (BIG-IP Fraud Protection Service)
от 14.1.0 до 14.1.5.1 (BIG-IP Fraud Protection Service)
от 15.1.0 до 15.1.6.1 (BIG-IP Fraud Protection Service)
от 16.1.0 до 16.1.3.1 (BIG-IP Fraud Protection Service)
от 17.0.0 до 17.0.0.1 (BIG-IP Fraud Protection Service)
от 13.1.0 до 13.1.5 включительно (BIG-IP Global Traffic Manager)
от 14.1.0 до 14.1.5.1 (BIG-IP Global Traffic Manager)
от 15.1.0 до 15.1.6.1 (BIG-IP Global Traffic Manager)
от 16.1.0 до 16.1.3.1 (BIG-IP Global Traffic Manager)
от 17.0.0 до 17.0.0.1 (BIG-IP Global Traffic Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Link Controller)
от 14.1.0 до 14.1.5.1 (BIG-IP Link Controller)
от 15.1.0 до 15.1.6.1 (BIG-IP Link Controller)
от 16.1.0 до 16.1.3.1 (BIG-IP Link Controller)
от 17.0.0 до 17.0.0.1 (BIG-IP Link Controller)
от 13.1.0 до 13.1.5 включительно (BIG-IP Local Traffic Manager)
от 14.1.0 до 14.1.5.1 (BIG-IP Local Traffic Manager)
от 15.1.0 до 15.1.6.1 (BIG-IP Local Traffic Manager)
от 16.1.0 до 16.1.3.1 (BIG-IP Local Traffic Manager)
от 17.0.0 до 17.0.0.1 (BIG-IP Local Traffic Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Policy Enforcement Manager)
от 14.1.0 до 14.1.5.1 (BIG-IP Policy Enforcement Manager)
от 15.1.0 до 15.1.6.1 (BIG-IP Policy Enforcement Manager)
от 16.1.0 до 16.1.3.1 (BIG-IP Policy Enforcement Manager)
от 17.0.0 до 17.0.0.1 (BIG-IP Policy Enforcement Manager)
от 8.0.0 до 8.2.0 (BIG-IQ Centralized Management)
Тип ПО
Средство защиты
ПО сетевого программно-аппаратного средства
Сетевое средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,7)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- блокирование доступа к iControl REST через интерфейс управления;
- блокирование доступа к iControl REST через собственный IP-адрес. Для этого необходимо изменить настройку "Port Lockdown" на "Allow None" для каждого IP-адреса. Если необходимо открыть какие-либо порты, следует использовать параметр "Allow Custom", чтобы запретить доступ к iControl REST. По умолчанию iControl REST прослушивает TCP-порт 443 или TCP-порт 8443.
Использование рекомендаций:
https://support.f5.com/csp/article/K55580033
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 71%
0.0068
Низкий
10 Critical
CVSS3
9.7 Critical
CVSS2
Связанные уязвимости
CVSS3: 8.1
nvd
больше 3 лет назад
In BIG-IP Versions 17.0.x before 17.0.0.1, 16.1.x before 16.1.3.1, 15.1.x before 15.1.6.1, 14.1.x before 14.1.5.1, and all versions of 13.1.x, and BIG-IQ version 8.x before 8.2.0 and all versions of 7.x, an authenticated user's iControl REST token may remain valid for a limited time after logging out from the Configuration utility. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
CVSS3: 9.8
github
больше 3 лет назад
In BIG-IP Versions 17.0.x before 17.0.0.1, 16.1.x before 16.1.3.1, 15.1.x before 15.1.6.1, 14.1.x before 14.1.5.1, and all versions of 13.1.x, and BIG-IQ version 8.x before 8.2.0 and all versions of 7.x, an authenticated user's iControl REST token may remain valid for a limited time after logging out from the Configuration utility. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
EPSS
Процентиль: 71%
0.0068
Низкий
10 Critical
CVSS3
9.7 Critical
CVSS2