-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.04 #############################
Titel : Kwetsbaarheden verholpen in F5 BIG-IP
Advisory ID : NCSC-2021-0240
Versie : 1.04
Kans : high
CVE ID : CVE-2021-22986, CVE-2021-22987, CVE-2021-22988,
CVE-2021-22989, CVE-2021-22990, CVE-2021-22991,
CVE-2021-22992, CVE-2021-22993, CVE-2021-22994,
CVE-2021-22998, CVE-2021-22999, CVE-2021-23000,
CVE-2021-23001, CVE-2021-23002, CVE-2021-23003,
CVE-2021-23004
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
Denial-of-Service (DoS)
Omzeilen van beveiligingsmaatregel
(Remote) code execution (Administrator/Root rechten)
Uitgiftedatum : 20210402
Toepassing : F5 BIG-IP
F5 BIG-IP Virtual Clustered Multiprocessing (vCMP)
F5 BIG-IP Access Policy Manager (APM)
F5 BIG-IP Access Policy Manager (APM) Standalone
Appliance
Versie(s) :
Platform(s) :
Update
Er is exploit-code verschenen voor de kwetsbaarheid met kenmerk
CVE-2021-22986. De inschaling van deze advisory blijft onveranderd
HIGH/HIGH.
Beschrijving
F5 heeft meerdere kwetsbaarheden verholpen in de
BIG-IP-productenlijn. De kwetsbaarheden stellen een (mogelijk
ongeauthenticeerde) kwaadwillende op afstand in staat aanvallen uit
te voeren die leiden tot de volgende categorieën schade:
* Cross-Site Scripting (XSS)
* Denial-of-Service (DoS)
* Omzeilen van beveiligingsmaatregel
* (Remote) code execution (Administrator/Root rechten)
De kwetsbaarheden met kenmerk CVE-2021-22986, CVE-2021-22987,
CVE-2021-22988, CVE-2021-22991 en CVE-2021-22992 hebben een
CVSS3.1-score van ten minste 8.8 gekregen. Elk van deze vijf
kwetsbaarheden stelt een kwaadwillende, al dan niet
ongeauthenticeerd en op afstand, in staat willekeurige commando's of
code uit te voeren op het kwetsbare systeem.
De kwetsbaarheid met kenmerk CVE-2021-22986 maakt het mogelijk om
ongeauthenticeerd commando's uit te voeren via de iControl REST API
en heeft een CVSS-score van 9.8.
De kwetsbaarheid met kenmerk CVE-2021-22992 heeft een CVSS-score van
9.0 en betreft een buffer-overflow in Advanced WAF/ASM virtual
servers. Deze kwetsbaarheid kan mogelijk ongeauthenticeerd en op
afstand worden misbruikt voor het veroorzaken van een DoS. Onder
bepaalde omstandigheden kan deze kwetsbaarheid tevens worden
misbruikt voor het uitvoeren van willekeurige code op het kwetsbare
systeem.
De kwetsbaarheid met de hoogte CVSS-score van 9.9 is CVE-2021-22987.
Deze kwetsbaarheid stelt een geauthenticeerde kwaadwillende in staat
om willekeurige commando's uit te voeren op de Traffic Management
User Interface (TMUI).
Mogelijke oplossingen
F5 heeft updates uitgebracht om de kwetsbaarheden te verhelpen in
BIG-IP. Voor meer informatie, zie:
Voor een overzicht van kwetsbaarheden die door F5 als kritiek worden
beschouwd, zie:
https://support.f5.com/csp/article/K02566623
CVE-2021-22986:
https://support.f5.com/csp/article/K03009991
CVE-2021-22987:
https://support.f5.com/csp/article/K18132488
CVE-2021-22988:
https://support.f5.com/csp/article/K70031188
CVE-2021-22989:
https://support.f5.com/csp/article/K56142644
CVE-2021-22990:
https://support.f5.com/csp/article/K45056101
CVE-2021-22991:
https://support.f5.com/csp/article/K56715231
CVE-2021-22992:
https://support.f5.com/csp/article/K52510511
CVE-2021-22993:
https://support.f5.com/csp/article/K55237223
CVE-2021-22994:
https://support.f5.com/csp/article/K66851119
CVE-2021-22998:
https://support.f5.com/csp/article/K31934524
CVE-2021-22999:
https://support.f5.com/csp/article/K02333782
CVE-2021-23000:
https://support.f5.com/csp/article/K34441555
CVE-2021-23001:
https://support.f5.com/csp/article/K06440657
CVE-2021-23002:
https://support.f5.com/csp/article/K71891773
CVE-2021-23003:
https://support.f5.com/csp/article/K43470422
CVE-2021-23004:
https://support.f5.com/csp/article/K31025212
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=HXXd
-----END PGP SIGNATURE-----
