Описание
Уязвимость интерфейса iControl REST средства контроля доступа и удаленной аутентификации BIG-IP связана с недостаточной проверкой аргументов, передаваемых в команду. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности
Вендор
F5 Networks, Inc.
Наименование ПО
BIG-IQ Centralized Management
BIG-IP Access Policy Manager
BIG-IP Advanced Firewall Manager
BIG-IP Analytics
BIG-IP Application Acceleration Manager
BIG-IP Fraud Protection Service
BIG-IP Global Traffic Manager
BIG-IP Link Controller
BIG-IP Local Traffic Manager
BIG-IP Policy Enforcement Manager
BIG-IP DNS
Версия ПО
от 8.0.0 до 8.2.0 включительно (BIG-IQ Centralized Management)
от 7.0.0 до 7.1.0 включительно (BIG-IQ Centralized Management)
от 13.1.0 до 13.1.5 включительно (BIG-IP Access Policy Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Advanced Firewall Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Analytics)
от 13.1.0 до 13.1.5 включительно (BIG-IP Application Acceleration Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Fraud Protection Service)
от 13.1.0 до 13.1.5 включительно (BIG-IP Global Traffic Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Link Controller)
от 13.1.0 до 13.1.5 включительно (BIG-IP Local Traffic Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Policy Enforcement Manager)
17.0.0 (BIG-IP Access Policy Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Access Policy Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Access Policy Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Access Policy Manager)
17.0.0 (BIG-IP Advanced Firewall Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Advanced Firewall Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Advanced Firewall Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Advanced Firewall Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Analytics)
от 15.1.0 до 15.1.8 включительно (BIG-IP Analytics)
от 16.1.0 до 16.1.3 включительно (BIG-IP Analytics)
17.0.0 (BIG-IP Analytics)
от 14.1.0 до 14.1.5 включительно (BIG-IP Application Acceleration Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Application Acceleration Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Application Acceleration Manager)
17.0.0 (BIG-IP Application Acceleration Manager)
17.0.0 (BIG-IP DNS)
от 16.1.0 до 16.1.3 включительно (BIG-IP DNS)
от 15.1.0 до 15.1.8 включительно (BIG-IP DNS)
от 14.1.0 до 14.1.5 включительно (BIG-IP DNS)
от 13.1.0 до 13.1.5 включительно (BIG-IP DNS)
от 14.1.0 до 14.1.5 включительно (BIG-IP Fraud Protection Service)
от 15.1.0 до 15.1.8 включительно (BIG-IP Fraud Protection Service)
от 16.1.0 до 16.1.3 включительно (BIG-IP Fraud Protection Service)
17.0.0 (BIG-IP Fraud Protection Service)
17.0.0 (BIG-IP Global Traffic Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Global Traffic Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Global Traffic Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Global Traffic Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Link Controller)
от 15.1.0 до 15.1.8 включительно (BIG-IP Link Controller)
от 16.1.0 до 16.1.3 включительно (BIG-IP Link Controller)
17.0.0 (BIG-IP Link Controller)
от 14.1.0 до 14.1.5 включительно (BIG-IP Local Traffic Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Local Traffic Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Local Traffic Manager)
17.0.0 (BIG-IP Local Traffic Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Policy Enforcement Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Policy Enforcement Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Policy Enforcement Manager)
17.0.0 (BIG-IP Policy Enforcement Manager)
Тип ПО
Средство защиты
ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,7)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение доступа к iControl REST через запрет доступа с собственных IP-адресов;
- блокирование доступа к iControl REST через интерфейс управления.
Использование рекомендаций производителя:
https://support.f5.com/csp/article/K13325942
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 100%
0.90794
Критический
8.7 High
CVSS3
8.5 High
CVSS2
Связанные уязвимости
CVSS3: 8.7
nvd
около 3 лет назад
In all versions of BIG-IP, when running in Appliance mode, an authenticated user assigned the Administrator role may be able to bypass Appliance mode restrictions, utilizing an undisclosed iControl REST endpoint. A successful exploit can allow the attacker to cross a security boundary. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
CVSS3: 8.7
github
около 3 лет назад
In all versions of BIG-IP, when running in Appliance mode, an authenticated user assigned the Administrator role may be able to bypass Appliance mode restrictions, utilizing an undisclosed iControl REST endpoint. A successful exploit can allow the attacker to cross a security boundary. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
EPSS
Процентиль: 100%
0.90794
Критический
8.7 High
CVSS3
8.5 High
CVSS2