CVE-2017-6131

Опубликовано: 23 мая 2017

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Описание

In some circumstances, an F5 BIG-IP version 12.0.0 to 12.1.2 and 13.0.0 Azure cloud instance may contain a default administrative password which could be used to remotely log into the BIG-IP system. The impacted administrative account is the Azure instance administrative user that was created at deployment. The root and admin accounts are not vulnerable. An attacker may be able to remotely access the BIG-IP host via SSH.

Ссылки

http://www.securitytracker.com/id/1038569
https://support.f5.com/csp/article/K61757346
Permissions Required
Vendor Advisory
http://www.securitytracker.com/id/1038569
https://support.f5.com/csp/article/K61757346
Permissions Required
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:f5:big-ip_local_traffic_manager:12.0.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_local_traffic_manager:12.1.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_local_traffic_manager:12.1.1:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_local_traffic_manager:12.1.2:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_local_traffic_manager:13.0.0:*:*:*:*:*:*:*

Конфигурация 2

Одно из

cpe:2.3:a:f5:big-ip_application_acceleration_manager:12.0.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_application_acceleration_manager:12.1.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_application_acceleration_manager:12.1.1:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_application_acceleration_manager:12.1.2:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_application_acceleration_manager:13.0.0:*:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:a:f5:big-ip_advanced_firewall_manager:12.0.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_advanced_firewall_manager:12.1.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_advanced_firewall_manager:12.1.1:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_advanced_firewall_manager:12.1.2:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_advanced_firewall_manager:13.0.0:*:*:*:*:*:*:*

Конфигурация 4

Одно из

cpe:2.3:a:f5:big-ip_access_policy_manager:12.0.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_access_policy_manager:12.1.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_access_policy_manager:12.1.1:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_access_policy_manager:12.1.2:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_access_policy_manager:13.0.0:*:*:*:*:*:*:*

Конфигурация 5

Одно из

cpe:2.3:a:f5:big-ip_application_security_manager:12.0.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_application_security_manager:12.1.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_application_security_manager:12.1.1:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_application_security_manager:12.1.2:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_application_security_manager:13.0.0:*:*:*:*:*:*:*

Конфигурация 6

Одно из

cpe:2.3:a:f5:big-ip_domain_name_system:12.0.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_domain_name_system:12.1.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_domain_name_system:12.1.1:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_domain_name_system:12.1.2:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_domain_name_system:13.0.0:*:*:*:*:*:*:*

Конфигурация 7

Одно из

cpe:2.3:a:f5:big-ip_link_controller:12.0.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_link_controller:12.1.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_link_controller:12.1.1:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_link_controller:12.1.2:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_link_controller:13.0.0:*:*:*:*:*:*:*

Конфигурация 8

Одно из

cpe:2.3:a:f5:big-ip_policy_enforcement_manager:12.0.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_policy_enforcement_manager:12.1.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_policy_enforcement_manager:12.1.1:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_policy_enforcement_manager:12.1.2:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_policy_enforcement_manager:13.0.0:*:*:*:*:*:*:*

Конфигурация 9

Одно из

cpe:2.3:a:f5:big-ip_websafe:12.0.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_websafe:12.1.0:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_websafe:12.1.1:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_websafe:12.1.2:*:*:*:*:*:*:*

cpe:2.3:a:f5:big-ip_websafe:13.0.0:*:*:*:*:*:*:*

EPSS

Процентиль: 73%

0.00775

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-798

Связанные уязвимости

GHSA-jgc9-5f5f-87mg

CVSS3: 9.8

github

больше 3 лет назад

BDU:2017-01425

fstec

больше 8 лет назад

Уязвимость облачной службы Azure средства защиты приложений BIG-IP Application Security Manager, средства контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager, системы балансировки интернет-трафика BIG-IP Link Controller, системы контроля и управления сетевым трафиком BIG-IP Policy Enforcement Manager, системы балансировки локального трафика BIG-IP Local Traffic Manager, DNS-сервера BIG-IP DNS, средства защиты веб-сервисов BIG-IP WebSafe, межсетевого экрана BIG-IP Advanced Firewall Manager и средства доставки приложений BIG-IP Application Acceleration Manager, позволяющая нарушителю получить доступ к хосту BIG-IP

EPSS

Процентиль: 73%

0.00775

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-798