Der Netzwerkausrüster F5 informierte auf seiner Homepage über insgesamt 29 Schwachstellen in seinen Produkten. 13 der veröffentlichten Sicherheitslücken werden entsprechend Common Vulnerability Scoring System (CVSS) mit einem Schweregrad von „hoch“ bewertet. Von besonderer Bedeutung ist hier die Schwachstelle mit der Nummer CVE-2021-23031, bei der ein Angreifer eine Privilegien-Eskalation herbeiführen kann.
Ist bei den betroffenen Produkten BIG-IP Advanced WAF (Web Application Firewall) und Application Security Manager (ASM) sowie Traffic Management User Interface (TMUI) der Appliance Mode aktiviert, muss die CVSS-Bewertung sogar auf „kritisch“ heraufgestuft werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte auf diesen Sachverhalt zeitnah über seinen Warn- und Informationsdienst hingewiesen.
Folgende Produkte und Serien aus dem F5-Portfolio sind von den schwerwiegenden Sicherheitslücken betroffen:
- BIG IP,
- BIG IQ
- Advanced WAF,
- iControl
- TMUI
- Traffic Management Microkernel (TMM).
Weiterhin wurden auch für andere Produkte Schwachstellen bekannt. Diese werden nach CVSS mit „mittel“ oder „gering“ bewertet. Für viele der genannten Schwachstellen hat F5 bereits Patches zur Verfügung gestellt. In ausgewählten Fällen kann außerdem ein Hotfix beim Hersteller angefordert werden. Für die ebenfalls betroffene Lösung BIG IQ, mit der BIG IP-Produkte zentral verwaltet werden können, ist noch kein Update verfügbar.
Produkte von F5 sind in zahlreichen Organisationen verschiedenster Branchen zu finden.
Bewertung
Aufgrund ihrer zentralen Bedeutung in IT-Umgebungen sind Netzwerkkomponenten – wie im vorliegenden Fall – grundsätzlich ein attraktives Ziel für Cyber-Angriffe. Es muss daher davon ausgegangen werden, dass sich Täter die veröffentlichten Schwachstellen kurzfristig zu Nutze machen werden.
Maßnahmen
Das BSI empfiehlt das kurzfristige Einspielen der von F5 bereitgestellten Patches. Sofern dies aus unterschiedlichen Gründen nicht möglich ist, sind die auf den Detailseiten zu den jeweiligen Schwachstellen aufgeführten Mitigationsmaßnahmen zu beachten. Beim Patchen sollten die Empfehlungen gemäß BSI-Grundschutz beachtet werden. Allgemeine Hinweise zur Absicherung und dem Aufbau von Firewalls stellt das BSI im Grundschutz-Kompendium bereit.
www.bsi.bund.de