image

Criminelen maken actief misbruik van kritieke kwetsbaarheid in F5 BIG-IP

maandag 9 mei 2022, 11:08 door Redactie, 2 reacties
Laatst bijgewerkt: 09-05-2022, 14:06

Criminelen maken actief misbruik van een kritiek kwetsbaarheid in F5 BIG-IP om organisaties aan te vallen, zo meldt het Australische Cyber Security Centre (ACSC). Op 4 mei verscheen er een update voor het beveiligingslek, aangeduid als CVE-2022-1388, dat het mogelijk maakt voor een ongeauthenticeerde aanvaller met toegang tot een BIG-IP om het systeem over te nemen of uit te schakelen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. In het verleden zijn kritieke kwetsbaarheden in het platform vaker bij aanvallen gebruikt. Volgens het ACSC is er inmiddels proof-of-concept exploitcode voor het lek online verschenen en maken aanvallers ook actief misbruik van de kwetsbaarheid bij aanvallen tegen Australische netwerken. Het ACSC zegt de situatie te monitoren en roept getroffen Australische organisaties op om zich te melden. Daarnaast wordt aangeraden de beschikbare update te installeren of anders een workaround toe te passen.

Securitybedrijf Censys stelt dat er zo'n 2500 BIG-IP-apparaten op internet zijn te vinden. "Normaliter adviseer ik om eerst te patchen en later configuratieproblemen te verhelpen. Maar in dit geval is het andersom: Zorg ervoor dat de beheerdersinterface niet toegankelijk is. Is dat niet mogelijk, patch dan niet, maar schakel het systeem uit. Als de configuratie-interface veilig is, dan pas patchen", aldus Johannes Ullrich van het Internet Storm Center.

Reacties (2)
09-05-2022, 16:34 door Anoniem
Heeft het veel zin om te adviseren de beheerinterface niet vanaf internet toegankelijk te maken?
Ik denk dat beheerders die de materie enigszins snappen dat allang gedaan hebben, en dat degenen die dit soort
dingen niet snappen ook geen adviezen lezen laat staan in actie komen.

Wellicht is het dan beter om bedrijven die dit soort spullen maken te adviseren ze zodanig op te zetten dat een vanaf
internet toegankelijke beheerinterface alleen na negeren van heel veel waarschuwingen mogelijk is.
(zowel in de documentatie als in de beheer interface zelf)
10-05-2022, 10:27 door Anoniem
Ehm, is internet tegenwoordig veranderd sinds ik ben gaan slapen gisteren?
Waarom worden alleen australische F5's aangevallen?
Zit daar een andere firmware in, zijn australiers meer van 'hang het aan internet die beheersinterface want ik heb geen zin om 4000km door de woestijn te rijden'... hoe dan?

En wie draait zijn mgmt interface op internet en op standaard poorten 443 en 8443?
(tenzij je een virtual F5 draait die maar 1 VNIC heeft natuurlijk).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.