Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Sicherheitslücken in F5 BIG-IP ausgenutzt

- Warnmeldung

Der Hersteller F5 warnt vor zwei Schwachstellen im Konfigurationsprogramm seines Produkts BIG-IP (all modules). Die IT-Sicherheitsfirma Tenable und F5 berichten von beobachteten Ausnutzungen der Lücken. F5 hat Patches für die Sicherheitslücken und Mitigationsmaßnahmen veröffentlicht. Zudem rät der Hersteller Nutzenden, BIG-IP auf Kompromittierung zu prüfen.
Mann arbeitet vor Analysebildschirmen mit Headset

© Adobe Stock

Zwei neue Schwachstellen in BIG-IP

F5 meldete Ende Oktober die Sicherheitslücken CVE-2023-46747 und CVE-2023-46748 im Konfigurationsprogramm seines Produkts BIG-IP. Über die kritische Lücke CVE-2023-46747 können Unbefugte auf das Traffic Management User Interface (TMUI) von BIG-IP zugreifen und Remote Code Execution (RCE) mit Administratorenrechten vollziehen. CVE-2023-46748 erlaubt authentifizierten Angreifenden mit TMUI-Zugriff eine SQL-Injection durchzuführen, um Systembefehle auszuführen. Dies berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Ältere Schwachstellen begünstigen Ausnutzung

CVE-2023-46747 ähnelt der bereits ausgenutzten Schwachstelle CVE-2020-5902 erläutern Forschende des Cybersicherheitsunternehmens Praetorian. Die ältere Sicherheitslücke CVE-2022-26377 ermöglicht über Request Smuggling die Ausnutzung von CVE-2023-46747. CVE-2022-26377 betrifft die Apache-Version von BIG-IP und ist noch nicht gepatcht. 

Tenable und F5 schildern, dass CVE-2023-46747 und CVE-2023-46748 schon ausgenutzt wurden. Folgende Versionen von BIG-IP sind von CVE-2023-46747 und CVE-2023-46748 betroffen:

  • BIG-IP 13.x : 13.1.0 - 13.1.5
  • BIG-IP 14.x: 14.1.0 - 14.1.5
  • BIG-IP 15.x: 15.1.0 - 15.1.10
  • BIG-IP 16.x: 16.1.0 - 16.1.4
  • BIG-IP 17.x: 17.1.0 - 17.1.1

Weltweite Bedrohungslage hoch

Laut Praetorian sind eventuell international über 6000 Server durch die Sicherheitslücken gefährdet, darunter Server größerer Firmen und staatlicher Institutionen. Das BSI warnt vor der schnellen und leichten Ausnutzbarkeit von Schwachstellen in BIG-IP aufgrund der Bekanntheit von technischen Details und Proof-of-Concepts zu BIG-IP. Infiltrierende müssen nur auf das TMUI von BIG-IP zugreifen und können hierdurch Geräte gänzlich kompromittieren.

Handlungsempfehlungen

Das BSI rät, sofort entsprechende Patch-Versionen zu installieren. Wenn unmittelbar kein Patch installiert werden kann, soll die Verbindung des BIG-IP-TMUI zum Internet getrennt werden.

Weiter verweist das BSI auf Mitigationsskripte, Mitigationsempfehlungen und Kompromittierungsindikatoren von F5. Im Fall einer festgestellten System-Kompromittierung bietet F5 einen Leitfaden mit Maßnahmen und rät, das System schnell zu isolieren. 

Ergänzend berichtet tenable von detaillierten Proof-of-Concepts zu BIG-IP-Schwachstellen auf GitHub.

Ausführliche Informationen