BDU:2024-08273

Опубликовано: 16 окт. 2024

Источник: fstec

CVSS3: 7.2

CVSS2: 9

EPSS Низкий

Описание

Уязвимость утилиты конфигурации TMOS Shell (tmsh) компонента Monitors средства контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager, а также программных средств, BIG-IP Advanced Firewall Manager, BIG-IP Advanced Web Application Firewall, BIG-IP Analytics, BIG-IP Application Acceleration Manager, BIG-IP Application Security Manager, BIG-IP Application Visibility and Reporting (AVR), BIG-IP Camer-Grade NAT (CGNAT), BIG-IP DDos Hybrid Defender, BIG-IP Domain Name System, BIG-IP Edge Gateway, BIG-IP Fraud Protection Service, BIG-IP Global Traffic Manager, BIG-IP Link Controller, BIG-IP Local Traffic Manager, BIG-IP Policy Inforcement Manager, BIG-IP SSL Orchestrator, BIG-IP Webaccelerator, BIG-IP WebSafe связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и/или изменить конфигурацию

Вендор

F5 Networks, Inc.

Наименование ПО

BIG-IP Access Policy Manager

BIG-IP Advanced Firewall Manager

BIG-IP Advanced Web Application Firewall

BIG-IP Analytics

BIG-IP Application Acceleration Manager

BIG-IP Application Security Manager

BIG-IP Application Visibility and Reporting (AVR)

BIG-IP Carrier-Grade NAT (CGNAT)

BIG-IP DDos Hybrid Defender

BIG-IP Domain Name System

BIG-IP Edge Gateway

BIG-IP Fraud Protection Service

BIG-IP Global Traffic Manager

BIG-IP Link Controller

BIG-IP Local Traffic Manager

BIG-IP Policy Enforcement Manager

BIG-IP SSL Orchestrator

BIG-IP Webaccelerator

BIG-IP WebSafe

Версия ПО

до 17.1.1.4 (BIG-IP Access Policy Manager)

до 16.1.5 (BIG-IP Access Policy Manager)

до 15.1.10.5 (BIG-IP Access Policy Manager)

до 15.1.10.5 (BIG-IP Advanced Firewall Manager)

до 16.1.5 (BIG-IP Advanced Firewall Manager)

до 17.1.1.4 (BIG-IP Advanced Firewall Manager)

до 17.1.1.4 (BIG-IP Advanced Web Application Firewall)

до 16.1.5 (BIG-IP Advanced Web Application Firewall)

до 15.1.10.5 (BIG-IP Advanced Web Application Firewall)

до 15.1.10.5 (BIG-IP Analytics)

до 16.1.5 (BIG-IP Analytics)

до 17.1.1.4 (BIG-IP Analytics)

до 17.1.1.4 (BIG-IP Application Acceleration Manager)

до 16.1.5 (BIG-IP Application Acceleration Manager)

до 15.1.10.5 (BIG-IP Application Acceleration Manager)

до 15.1.10.5 (BIG-IP Application Security Manager)

до 16.1.5 (BIG-IP Application Security Manager)

до 17.1.1.4 (BIG-IP Application Security Manager)

до 17.1.1.4 (BIG-IP Application Visibility and Reporting (AVR))

до 16.1.5 (BIG-IP Application Visibility and Reporting (AVR))

до 15.1.10.5 (BIG-IP Application Visibility and Reporting (AVR))

до 15.1.10.5 (BIG-IP Carrier-Grade NAT (CGNAT))

до 16.1.5 (BIG-IP Carrier-Grade NAT (CGNAT))

до 17.1.1.4 (BIG-IP Carrier-Grade NAT (CGNAT))

до 17.1.1.4 (BIG-IP DDos Hybrid Defender)

до 16.1.5 (BIG-IP DDos Hybrid Defender)

до 15.1.10.5 (BIG-IP DDos Hybrid Defender)

до 15.1.10.5 (BIG-IP Domain Name System)

до 16.1.5 (BIG-IP Domain Name System)

до 17.1.1.4 (BIG-IP Domain Name System)

до 17.1.1.4 (BIG-IP Edge Gateway)

до 16.1.5 (BIG-IP Edge Gateway)

до 15.1.10.5 (BIG-IP Edge Gateway)

до 15.1.10.5 (BIG-IP Fraud Protection Service)

до 16.1.5 (BIG-IP Fraud Protection Service)

до 17.1.1.4 (BIG-IP Fraud Protection Service)

до 17.1.1.4 (BIG-IP Global Traffic Manager)

до 16.1.5 (BIG-IP Global Traffic Manager)

до 15.1.10.5 (BIG-IP Global Traffic Manager)

до 15.1.10.5 (BIG-IP Link Controller)

до 16.1.5 (BIG-IP Link Controller)

до 17.1.1.4 (BIG-IP Link Controller)

до 17.1.1.4 (BIG-IP Local Traffic Manager)

до 16.1.5 (BIG-IP Local Traffic Manager)

до 15.1.10.5 (BIG-IP Local Traffic Manager)

до 15.1.10.5 (BIG-IP Policy Enforcement Manager)

до 16.1.5 (BIG-IP Policy Enforcement Manager)

до 17.1.1.4 (BIG-IP Policy Enforcement Manager)

до 17.1.1.4 (BIG-IP SSL Orchestrator)

до 16.1.5 (BIG-IP SSL Orchestrator)

до 15.1.10.5 (BIG-IP SSL Orchestrator)

до 15.1.10.5 (BIG-IP Webaccelerator)

до 16.1.5 (BIG-IP Webaccelerator)

до 17.1.1.4 (BIG-IP Webaccelerator)

до 17.1.1.4 (BIG-IP WebSafe)

до 16.1.5 (BIG-IP WebSafe)

до 15.1.10.5 (BIG-IP WebSafe)

Тип ПО

ПО сетевого программно-аппаратного средства

Сетевое средство

Прикладное ПО информационных систем

Средство защиты

Программное средство защиты

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- использование «белого» списка IP-адресов для организации доступа к уязвимому программному обеспечению;

- блокирование доступа к утилите tmsh;

- использование средств обнаружения и предотвращения вторжений для контроля сетевого трафика по 22 и 443 TCP-портам;

- отключение/удаление неиспользуемых учётных записей пользователей;

- минимизация пользовательских привилегий.

Использование рекомендаций:

https://my.f5.com/manage/s/article/K000140061

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-45844
CVE

EPSS

Процентиль: 16%

0.00053

Низкий

7.2 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2024-45844

CVSS3: 7.2

nvd

больше 1 года назад

BIG-IP monitor functionality may allow an attacker to bypass access control restrictions, regardless of the port lockdown settings. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

GHSA-gfc8-6qcc-3mvm

CVSS3: 7.2

github

больше 1 года назад

EPSS

Процентиль: 16%

0.00053

Низкий

7.2 High

CVSS3

9 Critical

CVSS2