Kritische Sicherheitslücke in F5 BIG-IP - Patches und Workarounds verfügbar

1. Juli 2020

Beschreibung

Der Hersteller F5 hat ein Security Advisory zu einer kritischen Lücke im Traffic Management User Interface (TMUI/Configuration Utility) seines Produkts BIG-IP veröffentlicht.

CVE-Nummer: CVE-2020-5902
CVSSv3 Score: 10.0 (laut F5)

Auswirkungen

Durch Ausnützen der Lücke kann laut F5 ein Angreifer mit Zugriff auf das TMUI beliebige Systembefehle sowie Java-Code ausführen, Dateien erstellen oder löschen und Services deaktivieren. Ein erfolgreicher Angriff kann zu einer vollständigen Kompromittierung des Systems führen.

Betroffene Systeme

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM)
Versionen 15.0.0, 15.1.0
Versionen 14.1.0 - 14.1.2
Versionen 13.1.0 - 13.1.3
Versionen 12.1.0 - 12.1.5
Versionen 11.6.1 - 11.6.5

Abhilfe

Anwenden der Workarounds.

Einspielen der entsprechenden Updates/Patches.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

F5 Security Advisory K52145254 (englisch)
https://support.f5.com/csp/article/K52145254