Update: Auch Monitoring-Funktionen F5 Big-IP-Appliances sind durch Schwachstellen angreifbar

Anbieter zum Thema

Fsas Technologies GmbH

In verschiedenen Produkten von F5 sind Sicherheitslücken entdeckt worden, die der Anbieter mit neuen Versionen und Updates schließt. Nun gibt F5 bekannt, dass auch die Monitoring-Funktionen von BIG-IP betroffen sind.

Die Schwachstelle CVE-2024-41727 in den BIG-IP-Modulen ist im August als „hoch“ eingestuft worden. Andere Sicherheitslücken, wie CVE-2024-37028 und CVE-2024-41719 haben eine Einstufung von „mittel“. Derzeit sind noch keine Angriffe bekannt, das kann sich aber schnell ändern.

Schwere Sicherheitslücke im Oktober-Update

Im Oktober neu hinzugekommen ist die Sicherheitslücke CVE-2024-45844. Betroffen von dieser Schwachstelle sind die Monitoring-Funktionen von BIG-IP. In der Version 3.1 weist die Sicherheitslücke einen CVSS von 7.2 und in der Version 4.0 einen CVSS von 8.6 auf. Durch ihre Ausnutzung kann ein authentifizierter Angreifer, der bereits Manager-Berechtigungen hat, diese Schwachstelle nutzen, um seine Rechte weiter zu erhöhen. Möglicherweise könnte er sogar die Konfiguration ändern. Wie die Einstellungen der Port-Sperre sind, ist hierbei irrelevant.

Horizons of Identity Security

41 Prozent der Unternehmen ohne ausreichenden Identitätsschutz

CVE-2024-41727 ermöglicht DoS-Attacke

Die Sicherheitslücke CVE-2024-41727 betrifft die BIG-IP-Systeme, insbesondere solche, die auf der r2000- und r4000-Hardware-Serie betrieben werden oder auf BIG-IP Virtual Editions (VE) mit Intel E810 SR-IOV-Netzwerkkarten. Diese Schwachstelle ermöglicht es einem entfernten, nicht authentifizierten Angreifer, durch speziell präparierten Datenverkehr eine erhöhte Speichernutzung zu provozieren, was zu einer signifikanten Verschlechterung der Systemleistung führen kann. Diese Leistungseinbuße manifestiert sich durch eine Überlastung des Traffic Management Microkernel (TMM), die letztlich einen Neustart des Prozesses erfordert, um den Normalzustand wiederherzustellen. Diese Schwachstelle betrifft ausschließlich die Datenebene und hat keine Auswirkungen auf die Kontrollebene des Systems.

Die Sicherheitslücke wurde von F5 Networks unter der ID 983073 registriert und als CWE-400 eingestuft, was auf eine unkontrollierte Ressourcennutzung hinweist. Die potenziellen Folgen dieser Schwachstelle sind erheblich, da ein Angreifer in der Lage ist, durch eine Denial-of-Service-Attacke (DoS) die Verfügbarkeit des BIG-IP-Systems zu beeinträchtigen. Dies ist besonders kritisch, da BIG-IP-Systeme häufig in hochverfügbaren Umgebungen eingesetzt werden, in denen eine kontinuierliche Erreichbarkeit essenziell ist.

Netscout DDoS Threat Intelligence Report 1H2024

Anstieg von DDoS-Attacken gefährdet kritische Infrastrukturen in EMEA

Betroffen sind vor allem Versionen der BIG-IP-Software in den Hauptzweigen 16.x und 15.x, wobei die Sicherheitslücke in Versionen bis 16.1.4 und 15.1.10 vorhanden ist. Ein Fix für diese Schwachstelle steht ab Version 16.1.5 zur Verfügung. Für den 15.x-Zweig wurde bisher kein Fix veröffentlicht, was bedeutet, dass Nutzer dieser Versionen dringend dazu angehalten sind, ein Upgrade auf eine sicherere Version vorzunehmen, um das Risiko eines DoS-Angriffs zu minimieren.

Es ist wichtig zu beachten, dass F5 ab August 2024 die Sicherheitslückenbewertung sowohl nach CVSS v3.1 als auch nach dem neuen CVSS v4.0-Standard veröffentlicht. Die CVSS-Wertung für diese Schwachstelle liegt nach v3.1 bei 7,5 (hoch) und nach v4.0 bei 8,7 (ebenfalls hoch), was die Dringlichkeit eines Updates unterstreicht.

Zur Abmilderung der Auswirkungen dieser Schwachstelle empfiehlt F5 die Konfiguration der BIG-IP-Systeme in einer Hochverfügbarkeits­umgebung (HA). Durch den Einsatz von HA-Clustern kann die Auswirkung eines möglichen TMM-Neustarts reduziert werden, da die Dienste in einem Cluster automatisch auf andere Knoten umgeleitet werden können, was die Ausfallzeit minimiert. Zusätzlich wird empfohlen, spezifische Aktionen in der HA-Tabelle zu konfigurieren, um auf Herzschlagfehler der BIG-IP-Daemons zu reagieren, was die Resilienz des Systems weiter erhöht.

Für Benutzer von BIG-IP Virtual Editions, die Intel E810 SR-IOV-Netzwerkkarten einsetzen, ist es ratsam, sich zusätzlich mit den spezifischen technischen Details zu diesen Netzwerkkarten auseinanderzusetzen, um die Risiken und potenziellen Auswirkungen der Schwachstelle vollständig zu verstehen.

(ID:50136928)