image

Mitigatiemaatregelen voor ernstig lek in F5 BIG-IP omzeild door aanvallers

woensdag 8 juli 2020, 17:08 door Redactie, 1 reacties

Aanvallers hebben een manier gevonden om de mitigatiemaatregelen voor een ernstige kwetsbaarheid in BIG-IP-systemen van fabrikant F5 te omzeilen en maken hier actief misbruik van. Op 1 juli kwam F5 met beveiligingsupdates voor een ernstig beveiligingslek in de BIG-IP-software waardoor aanvallers systemen op afstand kunnen overnemen.

Voor organisaties die nog niet konden updaten kwam F5 met tijdelijke mitigatiemaatregelen die bescherming zouden moeten bieden. De mitigatie bestond onder andere uit het aanpassen van httpd waarbij er een zogeheten "LocationMatch configuration element" werd toegevoegd. Daarmee moet worden voorkomen dat ongeauthenticeerde aanvallers toegang krijgen tot de configuratietool die voor het configureren van de BIG-IP wordt gebruikt. Het door F5 opgegeven element LocationMatch ".*\.\.;.*" is echter onvolledig en kan door aanvallers worden omzeild, zo laat F5 in een update weten. Daarin wordt nu geadviseerd om van LocationMatch ";" gebruik te maken.

Securitybedrijf NCC Group meldde gisteren al dat aanvallers de mitigatiemaatregelen omzeilden om zo kwetsbare systemen alsnog aan te vallen. Volgens NCC Group blijkt uit gegevens dat van tienduizend via het internet toegankelijke F5-apparaten er zesduizend door de bypass potentieel weer kwetsbaar zijn. Beveiligingsonderzoekers van securitybedrijf CriticalStart hebben een demonstratie online gezet hoe de mitigatiemaatregelen zijn te omzeilen. Organisaties krijgen dan ook het advies om de updates te installeren of de nieuwe mitigatie door te voeren.

Reacties (1)
08-07-2020, 21:19 door Anoniem
Op dit moment zijn er geen doeltreffende workarounds. Patchen dus. En de management interface alleen op vertrouwde netwerken (voor zover die bestaan) aanbieden.


Important: This section was last updated on July 8, 2020 at 09:30 Pacific time.I

F5 previously provided a configuration-based mitigation for httpd, which was intended to block all unauthenticated exploits. Upon further investigation, it has been determined that all previously provided mitigations are not completely effective. F5 continues to investigate; should an effective mitigation be found, this document will be updated with the new information.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.