Описание
Уязвимость интерфейса iControl SOAP средств контроля доступа и удаленной аутентификации BIG-IP и серверного программного обеспечения BIG-IQ Centralized Management связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команд с повышенными привилегиями
Вендор
F5 Networks, Inc.
Наименование ПО
BIG-IQ Centralized Management
BIG-IP Access Policy Manager
BIG-IP Advanced Firewall Manager
BIG-IP Analytics
BIG-IP Application Acceleration Manager
BIG-IP Fraud Protection Service
BIG-IP Global Traffic Manager
BIG-IP Link Controller
BIG-IP Local Traffic Manager
BIG-IP Policy Enforcement Manager
BIG-IP DNS
Версия ПО
от 8.0.0 до 8.2.0 включительно (BIG-IQ Centralized Management)
от 7.0.0 до 7.1.0 включительно (BIG-IQ Centralized Management)
от 13.1.0 до 13.1.5 включительно (BIG-IP Access Policy Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Advanced Firewall Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Analytics)
от 13.1.0 до 13.1.5 включительно (BIG-IP Application Acceleration Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Fraud Protection Service)
от 13.1.0 до 13.1.5 включительно (BIG-IP Global Traffic Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Link Controller)
от 13.1.0 до 13.1.5 включительно (BIG-IP Local Traffic Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Policy Enforcement Manager)
17.0.0 (BIG-IP Access Policy Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Access Policy Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Access Policy Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Access Policy Manager)
17.0.0 (BIG-IP Advanced Firewall Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Advanced Firewall Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Advanced Firewall Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Advanced Firewall Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Analytics)
от 15.1.0 до 15.1.8 включительно (BIG-IP Analytics)
от 16.1.0 до 16.1.3 включительно (BIG-IP Analytics)
17.0.0 (BIG-IP Analytics)
от 14.1.0 до 14.1.5 включительно (BIG-IP Application Acceleration Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Application Acceleration Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Application Acceleration Manager)
17.0.0 (BIG-IP Application Acceleration Manager)
17.0.0 (BIG-IP DNS)
от 16.1.0 до 16.1.3 включительно (BIG-IP DNS)
от 15.1.0 до 15.1.8 включительно (BIG-IP DNS)
от 14.1.0 до 14.1.5 включительно (BIG-IP DNS)
от 13.1.0 до 13.1.5 включительно (BIG-IP DNS)
от 14.1.0 до 14.1.5 включительно (BIG-IP Fraud Protection Service)
от 15.1.0 до 15.1.8 включительно (BIG-IP Fraud Protection Service)
от 16.1.0 до 16.1.3 включительно (BIG-IP Fraud Protection Service)
17.0.0 (BIG-IP Fraud Protection Service)
17.0.0 (BIG-IP Global Traffic Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Global Traffic Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Global Traffic Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Global Traffic Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Link Controller)
от 15.1.0 до 15.1.8 включительно (BIG-IP Link Controller)
от 16.1.0 до 16.1.3 включительно (BIG-IP Link Controller)
17.0.0 (BIG-IP Link Controller)
от 14.1.0 до 14.1.5 включительно (BIG-IP Local Traffic Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Local Traffic Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Local Traffic Manager)
17.0.0 (BIG-IP Local Traffic Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Policy Enforcement Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Policy Enforcement Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Policy Enforcement Manager)
17.0.0 (BIG-IP Policy Enforcement Manager)
Тип ПО
Средство защиты
ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение аутентификации для iControl SOAP:
1. Войти в оболочку управления трафиком (tmsh), введя следующую команду:
tmsh
2. Отключить обычную аутентификацию для iControl SOAP, введя следующую команду:
modify sys db icontrol.basic_auth value disable
3. Сохранить конфигурацию, введя следующую команду:
save sys config
- ограничение доступа к iControl SOAP API
1. Войти в оболочку управления трафиком (tmsh), введя следующую команду:
tmsh
2. Удалить все IP-адреса из списка разрешенных, введя следующую команду:
modify /sys icontrol-soap allow replace-all-with {}
3. Сохранить конфигурацию, введя следующую команду:
save sys config
Использование рекомендаций производителя:
https://support.f5.com/csp/article/K94221585
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 99%
0.6966
Средний
8.8 High
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 8.8
nvd
около 3 лет назад
In all versions, BIG-IP and BIG-IQ are vulnerable to cross-site request forgery (CSRF) attacks through iControl SOAP. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
CVSS3: 8.8
github
около 3 лет назад
In all versions, BIG-IP and BIG-IQ are vulnerable to cross-site request forgery (CSRF) attacks through iControl SOAP. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
EPSS
Процентиль: 99%
0.6966
Средний
8.8 High
CVSS3
10 Critical
CVSS2