NCSC | Beveiligingsadviezen
Bekijk RSS-feed

Beveiligingsadviezen

Download

Beveilingsadvies; NCSC-2022-0669

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in diverse F5 producten
Advisory ID     : NCSC-2022-0669
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2022-36795, CVE-2022-41617, CVE-2022-41624,
                  CVE-2022-41691, CVE-2022-41694, CVE-2022-41741,
                  CVE-2022-41742, CVE-2022-41743, CVE-2022-41770,
                  CVE-2022-41780, CVE-2022-41787, CVE-2022-41806,
                  CVE-2022-41813, CVE-2022-41832, CVE-2022-41833,
                  CVE-2022-41835, CVE-2022-41836, CVE-2022-41983
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Omzeilen van beveiligingsmaatregel
                  (Remote) code execution (Administrator/Root rechten)
                  (Remote) code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20221020
Toepassing      : F5 BIG-IP
                  F5 NGINX
Versie(s)       :
Platform(s)     :

Beschrijving
   F5 heeft diverse kwetsbaarheden verholpen in BIG-IP en NGINX. De
   kwetsbaarheden stellen een kwaadwillende in staat aanvallen uit te
   voeren die leiden tot de volgende categorieën schade:

   * Denial-of-Service (DoS)
   * Manipulatie van gegevens
   * Omzeilen van beveiligingsmaatregel
   * (Remote) code execution (Administrator/Root rechten)
   * (Remote) code execution (Gebruikersrechten)
   * Toegang tot gevoelige gegevens

   Voor de kwetsbaarheid met kenmerk CVE-2022-41617 in Advanced WAF en
   ASM iControl REST is bepalend of het systeem in standaard deployment
   modus actief is of als appliance. In het laatste geval kan de
   geauthenticeerde kwaadwillende code uitvoeren met verhoogde rechten
   op het onderliggende systeem.

   De kwetsbaarheid met kenmerk CVE-2022-41691 stelt een
   ongeauthenticeerde kwaadwillende op afstand in staat om middels
   speciaal geprepareerde verzoeken het 'bd' proces te stoppen. Hiertoe
   dient het kwetsbare systeem geconfigureerd te zijn met een Advanced
   WAF of ASM security policy op een virtuele server. Bovendien zijn
   enkel BIG-IP systemen die versie 14.1.5 gebruiken kwetsbaar
   gebleken.

   De kwetsbaarheden die verholpen zijn in NGINX hebben betrekking op
   de ngx_http_mp4_module en ngx_http_lhs_module NGINX modules en niet
   op de NGINX server zelf.

Mogelijke oplossingen
   F5 heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen in BIG-IP en de diverse NGINX modules. Voor meer
   informatie, zie:

   https://support.f5.com/csp/article/K30425568

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298) - not licensed for commercial use: www.pgp.com
Charset: utf-8
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=k+l6
-----END PGP SIGNATURE-----