Het cybercommando van de Amerikaanse overheid heeft organisaties geadviseerd om een ernstige kwetsbaarheid in de BIG-IP application delivery controller (ADC) van fabrikant F5 direct te patchen en niet tot na het weekend te wachten. Een kwetsbaarheid in de interface om het apparaat mee te configureren maak het mogelijk voor een aanvaller om op afstand code uit te voeren.
Zo kan een aanvaller willekeurige systeemcommando's uitvoeren, bestanden aanmaken of verwijderen, services uitschakelen en willekeurige Java-code uitvoeren. Via het beveiligingslek, dat op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 is beoordeeld, kan een aanvaller volledige controle over het systeem krijgen, aldus F5. De application delivery controller is een apparaat dat wordt geplaatst in een datacentrum tussen de firewall en één of meer applicatieservers. Dergelijke systemen moeten de belasting over meerdere servers verdelen en de prestaties van de applicatie verbeteren.
Alleen het versturen van een speciaal geprepareerd http-request naar de Traffic Management User Interface (TMUI) voor het configureren van de BIG-IP is voldoende om de aanval uit te voeren. De kwetsbaarheid werd ontdekt door securitybedrijf Positive Technologies, dat eerder ook een zeer ernstig beveiligingslek in Citrix ontdekte. Er zijn op dit moment zo'n 8500 kwetsbare systemen op internet te vinden. Organisaties wordt aangeraden om naar een nieuwere versie van de BIG-IP-software te updaten.
Naast het ernstige beveiligingslek (CVE-2020-5902) is ook een andere kwetsbaarheid in de software verholpen waarmee een cross-site scriptingaanval was uit te voeren. Ook via deze aanval zou het mogelijk zijn om een BIG-IP over te nemen. Gisterenavond verstuurde het U.S. Cyber Command, een afdeling van het Pentagon dat zich met cyberoperaties bezighoudt, een tweet waarin organisaties wordt opgeroepen om de update meteen te installeren en hier niet mee te wachten.
Het cybercommando krijgt bijval van Nate Warfield, een voormalig medewerker van F5 en tegenwoordig werkzaam voor het Microsoft Security Response Center. Warfield stelt dat het belang om snel te patchen niet onderschat mag worden. Een aanvaller die een systeem weet te compromitteren zou onversleuteld verkeer binnen het apparaat kunnen bekijken.
Deze posting is gelocked. Reageren is niet meer mogelijk.