Kwetsbaarheden verholpen in F5 producten
Deze pagina gebruikt slimmigheden om officiële advisory platte tekst naar HTML om te zetten. Daarbij kan die informatie worden verminkt. De "Signed-PGP" versies waarnaar verwezen wordt zijn normatief (maar deze zijn minder leesbaar).
Publicatie | Kans | Schade | |||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Versie 1.02 | 10-05-2022 | NCSC-2022-0334 | |||||||||||||||||||||||||||||||||||
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
10-05-2022 |
high
|
high
|
NCSC-2022-0334 [1.02] | Signed-PGP → | |||||||||||||||||||||||||||||||||
Kenmerken |
|
||||||||||||||||||||||||||||||||||||
Omschrijving |
Er zijn kwetsbaarheden verholpen in producten van F5, waaronder BIG-IP en Traffix SDC. De kwetsbaarheden stellen een kwaadwillende in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade:
De kwetsbaarheid met kenmerk CVE-2022-1388 heeft een CVSS 3.0 score gekregen van 9.8 en is door F5 aangemerkt als "critical". Deze kwetsbaarheid stelt een kwaadwillende in staat om willekeurige code uit te voeren. Om deze kwetsbaarheid uit te buiten moet de kwaadwillende toegang hebben tot het "self-ip" of de managementinterface van het BIG-IP systeem. Het is goed gebruik een dergelijke interface niet publiek toegankelijk te hebben, maar te ontsluiten middels een afgesloten beheernetwerk. Voor de kwetsbaarheid is exploitcode publiek beschikbaar. Daarnaast heeft het NCSC signalen ontvangen over actief misbruik van deze kwetsbaarheid. |
||||||||||||||||||||||||||||||||||||
Bereik |
|
||||||||||||||||||||||||||||||||||||
Oplossingen |
F5 heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Meer informatie kunt u vinden op [Link] Voor informatie omtrent de kwetsbaarheid met kenmerk CVE-2022-1388, waaronder beschikbaar gestelde updates, mitigerende maatregelen en indicators-of-compromise, zie [Link] |
||||||||||||||||||||||||||||||||||||
CVE’s |
CVE-2022-1388, CVE-2022-1389, CVE-2022-1468, CVE-2022-25946, CVE-2022-25990, CVE-2022-26071, CVE-2022-26130, CVE-2022-26340, CVE-2022-26370, CVE-2022-26372, CVE-2022-26415, CVE-2022-26517, CVE-2022-26835, CVE-2022-26890, CVE-2022-27181, CVE-2022-27182, CVE-2022-27189, CVE-2022-27230, CVE-2022-27495, CVE-2022-27634, CVE-2022-27636, CVE-2022-27659, CVE-2022-27662, CVE-2022-27806, CVE-2022-27875, CVE-2022-27878, CVE-2022-27880, CVE-2022-28691, CVE-2022-28695, CVE-2022-28701, CVE-2022-28705, CVE-2022-28706, CVE-2022-28707, CVE-2022-28708, CVE-2022-28714, CVE-2022-28716, CVE-2022-28859, CVE-2022-29263, CVE-2022-29473, CVE-2022-29474, CVE-2022-29479, CVE-2022-29480, CVE-2022-29491 |
||||||||||||||||||||||||||||||||||||
Kans |
Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen hoe groot de kans is dat deze kwetsbaarheid in het doorsnee praktijkgeval kan worden misbruikt. De punten worden bij elkaar geteld.
|
||||||||||||||||||||||||||||||||||||
Schade |
Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen voor de schade die bij een succesvolle aanval kan ontstaan. De hoogste inschaling bepaalt de totale kans op schade.
|
||||||||||||||||||||||||||||||||||||
Versie 1.02 | 10-05-2022 | NCSC-2022-0334 | |||||||||||||||||||||||||||||||||||
high
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
10-05-2022 |
high
|
high
|
NCSC-2022-0334 [1.02] | Signed-PGP → | |||||||||||||||||||||||||||||||||
Update |
Inmiddels is exploitcode verschenen voor de kwetsbaarheid met kenmerk CVE-2022-1388. Daarnaast wordt melding gemaakt van misbruik van deze kwetsbaarheid. De inschaling van dit beveiligingsadvies wijzigt daardoor van MEDIUM/HIGH naar HIGH/HIGH. Organisaties wordt opgeroepen om de door F5 beschikbare gestelde updates te installeren of mitigerende maatregelen toe te passen. |
||||||||||||||||||||||||||||||||||||
Versie 1.01 | 09-05-2022 | NCSC-2022-0334 | |||||||||||||||||||||||||||||||||||
medium
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
09-05-2022 |
medium
|
high
|
NCSC-2022-0334 [1.01] | Signed-PGP → | |||||||||||||||||||||||||||||||||
Update |
Onderzoekers hebben aangekondigd de kwetsbaarheid met kenmerk CVE-2022-1388 te kunnen misbruiken. Zij hebben geen Proof-of-Concept vrijgegeven, maar de onderzoeksmethode (het maken van een verschil-analyse tussen de originele code en de patch) is vrij eenvoudig en het is niet uit te sluiten dat kwaadwillenden middels een soortgelijke techniek tot dezelfde conclusies komen. Actief misbruik vereist nog steeds toegang tot de managementinterface, waarmee de dreiging primair ligt bij een aanval van binnenuit. De inschaling van dit beveiligingsadvies blijft daardoor ongewijzigd MEDIUM/HIGH Het NCSC adviseert wel om de updates versneld in te zetten, de mitigerende maatregelen waar nodig toe te passen indien updates op korte termijn niet mogelijk zijn, en om de inrichting van de infrastructuur te controleren en te zorgen dat de management-interface, conform best practices, niet publiek toegankelijk is. |
||||||||||||||||||||||||||||||||||||
Versie 1.00 | 06-05-2022 | NCSC-2022-0334 | |||||||||||||||||||||||||||||||||||
medium
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
06-05-2022 |
medium
|
high
|
NCSC-2022-0334 [1.00] | Signed-PGP → |
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade
ten gevolge van het gebruik of de onmogelijkheid van het gebruik
van dit beveiligingsadvies, waaronder begrepen schade ten gevolge
van de onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle
geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies
zullen worden voorgelegd aan de exclusief bevoegde rechter te Den
Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in
kort geding.