Sårbarheter F5 BigIp og BigIQ


I forbindelse med sårbarheter annonsert 10 mars sier vi her noe ord om hva dette dreier seg om og mulig konsekvens


I forbindelse med sårbarheter annonsert 10 mars sier vi her noe ord om hva dette dreier seg om og mulig konsekvens

F5 annonserte flere kritiske sårbarheter for BigIP og BigIQ 10. Mars. 2021. I denne artikkelen skal vi se kort på hva disse dreier seg om og hva implikasjonene kan være for sikkerheten for nettverket og tjenestene dine. 

Først litt om arkitekturen i BigIP plattformen som spiller en viktig rolle for konsekvensene sårbarhetene har. BigIP er logisk sett delt opp i et managementplan som håndterer administrasjon av enheten og styring av tjenestene på data-planet og brukertrafikken for tjenestene som enheten betjener går via data-planet. Et eksempel på dette er illustrert i skissen under:

h

Meningen er å separere brukertrafikk og management-trafikk og tilgang til management-planet skal være skjermet for tilgang så mye som mulig. Hvor godt denne separasjonen er gjort kan ha mye å si for hvor utsatt man er for utnyttelse av de publiserte sårbarhetene. 

Sårbarhetene

Så litt om selve sårbarhetene. Enkelte av de har noen ekstra betingelser for hvilke funksjoner man bruker som vi ikke beskriver nærmere her. To av sårbarhetene gjelder data-planet CVE-2021-22991 og CVE-2021-22992Sårbarheter på data-planet kan være de verste fordi det påvirker tjenestene man publiserer som ofte er tilgjengelig for hele Internett og kan dermed også potensielt utnyttes av hvem som helst. CVE-2021-22992 krever manipulering av respons fra backend-servere så det kan i utgangspunktet se ut som en angriper allerede må ha kontroll på disse for å få til det. Det er usikkert om denne likevel kan utnyttes utenfra ved å legge inn innhold i f. eks. kommentarfelt e.l. som så sendes tilbake som respons fra en back-end web-server. Omfanget av sårbarheten inkluderer vilkårlig kjøring av kode, i så tilfelle kan en ekstern angriper ta kontroll over enheten. CVE-2021-22991 har et element av Denial of Service som gjør tjenestene utilgjengelige, men det skrives også om en teoretisk mulighet for vilkårlig kjøring av kode. Kombinert med at denne sårbarheten treffer bredere mtp. hvilke moduler på BigIP den gjelder kan denne være potensielt ille. 

De neste fem sårbarhetene gjelder kontroll-planet. Risikoen for utnyttelse av disse avhenger derfor av hvor godt man har beskyttet management-tilgangen til enheten. Om denne kun er tilgjengelig fra separert management med god autentisering har man en viss skjerming, men om tilgangen er åpen fra maskiner man bruker til generelle ting kan man være ganske utsatt. Disse sårbarhetene belyser derfor viktigheten av god segmentering i nettverket. 

Fire av disse gjelder om man har autentisert tilgang CVE-2021-22987CVE-2021-22988CVE-2021-22989 og CVE-2021-22990, dvs. at de kan utnyttes om man har tilgang til management-grensesnittet og har gyldig brukertilgang. Sårbarhetene tillater vilkårlig kjøring av kode så disse kan f.eks. kombineres med stjålne credentials av angripere som allerede er inne for å kompromittere nettverket ytterligere. Med disse sårbarhetene kan man potensielt gå fra en bruker med begrenset tilgang til full kontroll over enheten. 

Den siste og kanskje verste av disse CVE-2021-22986 gjelder om man har tilgang til management-grensesnittet og uten autentisering. Det vil si at alle som har nettverkstilgang til å bruke IP eller DNS-navn og få opp innloggingen i web-GUIet kan man potensielt utnytte denne sårbarheten og få full kontroll over systemet. 

Selv om det er visse betingelser om sårbarhetene kan utnyttes bør det være første prioritet å patche så fort som mulig for å være på den sikre siden. Disse sårbarhetene treffer veldig bredt, og det kan være vanskelig å ha full oversikt over angrepsvektorene.

Ta gjerne kontakt ved behov for rådgivning rundt dette eller oppgradering til patchet versjon.