Aanvallers hebben een manier gevonden om de mitigatiemaatregelen voor een ernstige kwetsbaarheid in BIG-IP-systemen van fabrikant F5 te omzeilen en maken hier actief misbruik van. Op 1 juli kwam F5 met beveiligingsupdates voor een ernstig beveiligingslek in de BIG-IP-software waardoor aanvallers systemen op afstand kunnen overnemen.

Voor organisaties die nog niet konden updaten kwam F5 met tijdelijke mitigatiemaatregelen die bescherming zouden moeten bieden. De mitigatie bestond onder andere uit het aanpassen van httpd waarbij er een zogeheten "LocationMatch configuration element" werd toegevoegd. Daarmee moet worden voorkomen dat ongeauthenticeerde aanvallers toegang krijgen tot de configuratietool die voor het configureren van de BIG-IP wordt gebruikt. Het door F5 opgegeven element LocationMatch ".*\.\.;.*" is echter onvolledig en kan door aanvallers worden omzeild, zo laat F5 in een update weten. Daarin wordt nu geadviseerd om van LocationMatch ";" gebruik te maken.

Securitybedrijf NCC Group meldde gisteren al dat aanvallers de mitigatiemaatregelen omzeilden om zo kwetsbare systemen alsnog aan te vallen. Volgens NCC Group blijkt uit gegevens dat van tienduizend via het internet toegankelijke F5-apparaten er zesduizend door de bypass potentieel weer kwetsbaar zijn. Beveiligingsonderzoekers van securitybedrijf CriticalStart hebben een demonstratie online gezet hoe de mitigatiemaatregelen zijn te omzeilen. Organisaties krijgen dan ook het advies om de updates te installeren of de nieuwe mitigatie door te voeren.