-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in F5 BIG-IP
Advisory ID : NCSC-2021-0240
Versie : 1.00
Kans : medium
CVE ID : CVE-2021-22986, CVE-2021-22987, CVE-2021-22988,
CVE-2021-22989, CVE-2021-22990, CVE-2021-22991,
CVE-2021-22992, CVE-2021-22993, CVE-2021-22994,
CVE-2021-22998, CVE-2021-22999, CVE-2021-23000,
CVE-2021-23001, CVE-2021-23002, CVE-2021-23003,
CVE-2021-23004
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
Denial-of-Service (DoS)
Omzeilen van beveiligingsmaatregel
(Remote) code execution (Administrator/Root rechten)
Uitgiftedatum : 20210311
Toepassing : F5 BIG-IP
F5 BIG-IP Virtual Clustered Multiprocessing (vCMP)
F5 BIG-IP Access Policy Manager (APM)
F5 BIG-IP Access Policy Manager (APM) Standalone
Appliance
Versie(s) :
Platform(s) :
Beschrijving
F5 heeft meerdere kwetsbaarheden verholpen in de
BIG-IP-productenlijn. De kwetsbaarheden stellen een (mogelijk
ongeauthenticeerde) kwaadwillende op afstand in staat aanvallen uit
te voeren die leiden tot de volgende categorieën schade:
* Cross-Site Scripting (XSS)
* Denial-of-Service (DoS)
* Omzeilen van beveiligingsmaatregel
* (Remote) code execution (Administrator/Root rechten)
De kwetsbaarheden met kenmerk CVE-2021-22986, CVE-2021-22987,
CVE-2021-22988, CVE-2021-22991 en CVE-2021-22992 hebben een
CVSS3.1-score van ten minste 8.8 gekregen. Elk van deze vijf
kwetsbaarheden stelt een kwaadwillende, al dan niet
ongeauthenticeerd en op afstand, in staat willekeurige commando's of
code uit te voeren op het kwetsbare systeem.
De kwetsbaarheid met kenmerk CVE-2021-22986 maakt het mogelijk om
ongeauthenticeerd commando's uit te voeren via de iControl REST API
en heeft een CVSS-score van 9.8.
De kwetsbaarheid met kenmerk CVE-2021-22992 heeft een CVSS-score van
9.0 en betreft een buffer-overflow in Advanced WAF/ASM virtual
servers. Deze kwetsbaarheid kan mogelijk ongeauthenticeerd en op
afstand worden misbruikt voor het veroorzaken van een DoS. Onder
bepaalde omstandigheden kan deze kwetsbaarheid tevens worden
misbruikt voor het uitvoeren van willekeurige code op het kwetsbare
systeem.
De kwetsbaarheid met de hoogte CVSS-score van 9.9 is CVE-2021-22987.
Deze kwetsbaarheid stelt een geauthenticeerde kwaadwillende in staat
om willekeurige commando's uit te voeren op de Traffic Management
User Interface (TMUI).
Mogelijke oplossingen
F5 heeft updates uitgebracht om de kwetsbaarheden te verhelpen in
BIG-IP. Voor meer informatie, zie:
Voor een overzicht van kwetsbaarheden die door F5 als kritiek worden
beschouwd, zie:
https://support.f5.com/csp/article/K02566623
CVE-2021-22986:
https://support.f5.com/csp/article/K03009991
CVE-2021-22987:
https://support.f5.com/csp/article/K18132488
CVE-2021-22988:
https://support.f5.com/csp/article/K70031188
CVE-2021-22989:
https://support.f5.com/csp/article/K56142644
CVE-2021-22990:
https://support.f5.com/csp/article/K45056101
CVE-2021-22991:
https://support.f5.com/csp/article/K56715231
CVE-2021-22992:
https://support.f5.com/csp/article/K52510511
CVE-2021-22993:
https://support.f5.com/csp/article/K55237223
CVE-2021-22994:
https://support.f5.com/csp/article/K66851119
CVE-2021-22998:
https://support.f5.com/csp/article/K31934524
CVE-2021-22999:
https://support.f5.com/csp/article/K02333782
CVE-2021-23000:
https://support.f5.com/csp/article/K34441555
CVE-2021-23001:
https://support.f5.com/csp/article/K06440657
CVE-2021-23002:
https://support.f5.com/csp/article/K71891773
CVE-2021-23003:
https://support.f5.com/csp/article/K43470422
CVE-2021-23004:
https://support.f5.com/csp/article/K31025212
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=9UZ9
-----END PGP SIGNATURE-----
