For English, see below.
BeschrijvingVandaag heeft F5 Networks het Overview of F5 vulnerabilities (October 2023) uitgebracht [LINK]. De hooggekwalificeerde (CVSSv3 score ‘High’ of ‘Critical’) kwetsbaarheden zijn hieronder samengevat. Tenzij anders vermeld, zijn onderstaande kwetsbaarheden van toepassing op TMOS 13.x, 14.x, 15.x, 16.x en 17.x. Potentieel zijn ook oudere TMOS-versies kwetsbaar (omdat deze versies al langere tijd niet meer ondersteund worden, doet F5 geen uitspraak over de kwetsbaarheid van deze versies). CVSSv3 score ‘High’/’Critical’
BIG-IP in appliance mode: CVSSv3 score: 9.9 BIG-IP in normale mode: CVSSv3 score: 8.8 Hiervoor moet eerst met succes ingelogd worden op de Configuration Utility (= de web-interface). Vanuit de Configuration Utility kunnen dan willekeurige commando’s op de BIG-IP worden uitgevoerd. Administrators met ‘Advanced Shell’ toegang kunnen dat toch al. Dit heeft dus impact op gebruikers die zelf geen toegang hebben tot de ‘Advanced Shell’ CLI. Niet kwetsbare versies: 14.1.5.6, 15.1.10.2, 16.1.4.1, 17.1.0.3. Pinewood adviseert de management-toegang tot de BIG-IP te beperken tot vertrouwde netwerken en gebruikers. Wanneer gebruik gemaakt wordt van Appliance Mode [LINK], zal een upgrade gewenst zijn.
BIG-IP in appliance mode: CVSSv3 score: 8.7 BIG-IP in normale mode: niet kwetsbaar Deze kwetsbaarheid staat het toe om de ‘appliance mode’ beveiliging te omzeilen. Niet kwetsbare versies: 15.1.9, 16.1.4, 17.1.0. Pinewood adviseert de management-toegang tot de BIG-IP te beperken tot vertrouwde netwerken en gebruikers. Wanneer gebruik gemaakt wordt van Appliance Mode [LINK], zal een upgrade gewenst zijn.
CVSSv3 score: 8.1 Deze kwetsbaarheid betreft het niet correct uitloggen van een geauthentiseerde gebruiker in de Configuration Utility (= de web-interface) op multi-blade VIPRION-omgevingen. Niet kwetsbare versies: 15.1.9, 16.1.4, 17.1.0. Pinewood adviseert de management-toegang tot de BIG-IP/VIPRION te beperken tot vertrouwde netwerken en gebruikers.
CVSSv3 score: 7.8 Deze kwetsbaarheid betreft de BIG-IP Edge Client (VPN) installer voor macOS. Niet kwetsbare versies: Edge Client 7.2.4.4
CVSSv3 score: 7.5 Deze kwetsbaarheid geldt wanneer aan een virtual server een HTTP/2 client profiel gekoppeld is en de MRF Router optie is ingeschakeld en een iRule gebruik maakt van het HTTP_REQUEST event (of een Local Traffic Policy aan de virtual server gekoppeld is). In dat specifieke geval kan TMM crashen (DoS). Niet kwetsbare versies: 13.x, 14.x, 15.x, 16.1.4.1+Hotfix, 17.1.0.3+Hotfix. De MRF Router optie is heel specifiek en niet standaard ingeschakeld, waardoor de kwetsbaarheid dan ook niet van toepassing is.
CVSSv3 score: 7.5 Deze kwetsbaarheid geldt wanneer aan een virtual server een TCP-profiel gekoppeld is waarin de ‘Verified Accept’ optie is ingeschakeld. Niet kwetsbare versies: 15.1.9, 16.1.4, 17.1.0. ‘Verified Accept’ is een heel specifieke instelling, welke standaard is uitgeschakeld, waardoor de kwetsbaarheid dan ook niet van toepassing is.
CVSSv3 score: 7.5 Deze kwetsbaarheid geldt wanneer IPsec is geconfigureerd op een virtual server. TMM kan dan crashen (DoS). Niet kwetsbare versies: 15.1.9, 16.1.4, 17.1.0.
CVSSv3 score: 7.3 Deze kwetsbaarheid betreft de BIG-IP Edge Client (VPN) installer voor macOS. Niet kwetsbare versies: Edge Client 7.2.4.5
CVSSv3 score: 7.2 Hiervoor moet eerst met succes ingelogd worden op de Configuration Utility (= de web-interface). Dit betreft een privilege escalation voor gebruikers die eerst de rol ‘Administrator’ hadden en welke daarna is verlaagd tot een niet-Administrator rol. Niet kwetsbare versies: 15.1.9, 16.1.4, 17.1.0. Pinewood adviseert de management-toegang tot de BIG-IP te beperken tot vertrouwde netwerken en gebruikers. Oplossingen en tijdelijke mitigatiesControleer eerst of een kwetsbaarheid van toepassing is. Sommige kwetsbaarheden zijn slechts in heel specifieke gevallen van toepassing. Bepaal daarna of een work-around beschikbaar is en pas deze toe. Indien gewenst, voer een upgrade uit naar een niet-kwetsbare versie. Meer informatieZie de [LINK] referenties hierboven. Managed Security Services (MSS) klantenAls u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden. VragenVoor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl. ===== ENGLISH ===== DescriptionToday, F5 Networks has released: Overview of F5 vulnerabilities (October 2023) [LINK]. Vulnerabilities with a CVSSv4 score ‘High’ or ‘Critical’ are summarised below. Unless mentioned otherwise, the vulnerabilities affect all TMOS versions 13.x, 14.x, 15.x, 16.x, and 17.x. Older versions of TMOS are potentially vulnerable as well (F5 does not mention these old, long out of support, versions anymore). CVSSv3 score ‘High’/’Critical’
BIG-IP in appliance mode: CVSSv3 score: 9.9 BIG-IP in normal mode: CVSSv3 score: 8.8 This vulnerability requires an attacker to first successfully login into the Configuration Utility (= web interface). Then, using the vulnerability, the attacker can execute commands on the BIG-IP system. Note that Administrators with ‘Advanced Shell’ privileges are already able to do so. Hence, this vulnerability mainly affects customers with non-administrative users on the BIG-IP that do not have ‘Advanced Shell’ access already. Non-vulnerable versions: 14.1.5.6, 15.1.10.2, 16.1.4.1, 17.1.0.3. Pinewood recommends restricting access to the management network and to the BIG-IP itself to trusted users only. When using Appliance Mode [LINK], an upgrade is recommended.
BIG-IP in appliance mode: CVSSv3 score: 8.7 BIG-IP in normal mode: not vulnerable When running in Appliance mode, an authenticated user assigned the Administrator role may be able to bypass Appliance mode restrictions utilizing BIG-IP external monitor on a BIG-IP system. Non-vulnerable versions: 15.1.9, 16.1.4, 17.1.0. Pinewood recommends restricting access to the management network and to the BIG-IP itself to trusted users only. When using Appliance Mode [LINK], an upgrade is recommended.
CVSSv3 score: 8.1 An authenticated user’s session cookie may remain valid for a limited time after logging out from the BIG-IP Configuration utility (= web interface) on a multi-blade VIPRION platform. Non-vulnerable versions: 15.1.9, 16.1.4, 17.1.0. Pinewood recommends restricting access to the management network and to the BIG-IP itself to trusted users only.
CVSSv3 score: 7.8 he BIG-IP Edge Client Installer on macOS does not follow best practices for elevating privileges during the installation process. Non-vulnerable versions: Edge Client 7.2.4.4
CVSSv3 score: 7.5 When a client-side HTTP/2 profile and the HTTP MRF Router option are enabled for a virtual server, and an iRule using the HTTP_REQUEST event or Local Traffic Policy are associated with the virtual server, undisclosed requests can cause the Traffic Management Microkernel (TMM) to terminate. Non-vulnerable versions: 13.x, 14.x, 15.x, 16.1.4.1+Hotfix, 17.1.0.3+Hotfix. The MRF Router option is uncommon to use and disabled by default (in which case the vulnerability is not applicable).
CVSSv3 score: 7.5 When TCP Verified Accept is enabled on a TCP profile that is configured on a virtual server, undisclosed requests can cause an increase in memory resource utilization. Non-vulnerable versions: 15.1.9, 16.1.4, 17.1.0. The ‘Verified Accept’ option is uncommon to use and disabled by default (in which case the vulnerability is not applicable).
CVSSv3 score: 7.5 When IPsec is configured on a virtual server, undisclosed traffic can cause the Traffic Management Microkernel (TMM) to terminate. Non-vulnerable versions: 15.1.9, 16.1.4, 17.1.0.
CVSSv3 score: 7.3 An insufficient verification of data vulnerability exists in BIG-IP Edge Client Installer on macOS that may allow an attacker elevation of privileges during the installation process. Non-vulnerable versions: Edge Client 7.2.4.5
CVSSv3 score: 7.2 When a non-admin user has been assigned an administrator role via an iControl REST PUT request and later the user’s role is reverted back to a non-admin role via the Configuration utility, tmsh, or iControl REST, the BIG-IP non-admin user can still access the iControl REST admin resource. Non-vulnerable versions: 15.1.9, 16.1.4, 17.1.0. Pinewood recommends restricting access to the management network and to the BIG-IP itself to trusted users only. Solutions and workaroundsFirst determine if a vulnerability is applicable to your environment and configuration. Most vulnerabilities only apply to specific configurations. Next, consider if a work-around can be applied. If required, upgrade the system to a version that is not vulnerable. More informationPlease refer to the [LINK] references above. Managed Security Services (MSS) customersIf you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities. QuestionsFor questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl. |