F5, leverancier van cloudbeveiligings- en applicatieleveringsoplossingen, heeft deze week patches aangekondigd voor 25 kwetsbaarheden die van invloed zijn op zijn BIG-IP-, BIG-IQ- en NGINX-producten.
In de BIG-IP Application Delivery Controller (ADC) zijn in totaal 23 beveiligingsfouten verholpen, waaronder 13 zeer ernstige problemen, die allemaal een CVSS-score van 7.5 hebben.
Het merendeel van de zeer ernstige bugs kan leiden tot het beëindigen van de Traffic Management Microkernel (TMM). Er zijn maar weinig andere die kunnen leiden tot een toename van het gebruik van geheugenbronnen, het vastlopen van de virtuele server of het uitvoeren van JavaScript-code.
De beveiligingsgebreken werden geïdentificeerd in meerdere BIG-IP-versies, variërend van 11.x tot 16.x. Oplossingen zijn opgenomen in versies 14.x, 15.x en 16.x.
F5 heeft ook patches aangekondigd voor twee zeer ernstige fouten, in BIG-IQ gecentraliseerd beheer (CVE-2022-23009 – CVSS-score van 8.0) en NGINX-controller API-beheer (CVE-2022-23008 – CVSS-score van 8.7).
De bugs kunnen worden misbruikt om toegang te krijgen tot andere BIG-IP-apparaten die worden beheerd door hetzelfde BIG-IQ-systeem en om respectievelijk JavaScript-code te injecteren.
Alle negen middelzware kwetsbaarheden die deze week zijn gepatcht, zijn van invloed op BIG-IP, maar een ervan – namelijk CVE-2022-23023, wat leidt tot een groter gebruik van geheugenbronnen – heeft ook gevolgen voor BIG-IQ.
De fouten kunnen leiden tot TMM-beëindiging, een toename van het gebruik van bronnen, het vastlopen van de virtuele server, het mislukken van bepaalde typen TCP-verbindingen of het lekken van lokale bestanden.
Bovendien heeft F5 een kwetsbaarheid van lage ernst gepatcht die leidde tot een DNS-rebinding-aanval.
Het Cybersecurity and Infrastructure Security Agency (CISA) van de Verenigde Staten moedigt beheerders aan om te beoordelen: F5's advies en installeer de beschikbare software-updates zo snel mogelijk.
"Een aanvaller op afstand zou deze kwetsbaarheden kunnen misbruiken om de service aan een getroffen systeem te weigeren of de controle over te nemen." CISA-aantekeningen.
Zie ook: Onderzoekers slaan alarm voor F5 BIG-IP malware-aanvallen
Zie ook: F5 lost vier kritieke bugs op in Big-IP Suite
Zie ook: Kwetsbaarheid stelt F5 BIG-IP-systemen bloot aan DoS-aanvallen op afstand
Ionut Arghire is een internationale correspondent voor SecurityWeek.
Tags: Bron: https://www.securityweek.com/f5-patches-two-dozen-vulnerabilities-big-ip
