Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
F5 Networks BIG-IP Advanced Firewall Manager (AFM) >= 11.5.1 HF6
F5 Networks BIG-IP Advanced Firewall Manager (AFM) <= 11.5.4
F5 Networks BIG-IP Advanced Firewall Manager (AFM) >= 11.6.0
F5 Networks BIG-IP Advanced Firewall Manager (AFM) <= 11.6.1 HF1
F5 Networks BIG-IP Advanced Firewall Manager (AFM) >= 12.0.0
F5 Networks BIG-IP Advanced Firewall Manager (AFM) < 12.1.2 HF1
F5 Networks BIG-IP Advanced Firewall Manager (AFM) 13.0.0
F5 Networks BIG-IP Advanced Firewall Manager (AFM) < 13.0.0 HF1
F5 Networks BIG-IP Application Security Manager (ASM) >= 11.5.1 HF6
F5 Networks BIG-IP Application Security Manager (ASM) <= 11.5.4
F5 Networks BIG-IP Application Security Manager (ASM) >= 11.6.0
F5 Networks BIG-IP Application Security Manager (ASM) <= 11.6.1 HF1
F5 Networks BIG-IP Application Security Manager (ASM) >= 12.0.0
F5 Networks BIG-IP Application Security Manager (ASM) < 12.1.2 HF1
F5 Networks BIG-IP Application Security Manager (ASM) 13.0.0
F5 Networks BIG-IP Application Security Manager (ASM) < 13.0.0 HF1
Betroffene Plattformen:
F5 Networks BIG-IP Systeme
Jeweils eine Schwachstelle in der von F5 Networks BIG-IP Produkten
verwendeten Traffic Management Microkernel (TMM) SSL/TLS Profilkonfiguration
(CVE-2017-6141), der Komponente iControl REST (CVE-2017-6145) sowie dem
Skript zur Synchronisation von SafeNet External Network HSM
Konfigurationselementen (CVE-2017-6165) ermöglicht einem entfernten, nicht
authentisierten Angreifer das Erlangen von Administratorrechten mit Hilfe
eines abgelaufenen Cookies und einen Denial-of-Service (DoS)-Angriff sowie
einem lokalen Angreifer ebenfalls die Durchführung eines Denial-of-Service
(DoS)-Angriffs und weitere nicht näher spezifizierte Einflussnahme.
Die Schwachstelle CVE-2017-6141 betrifft unter anderem den F5 Networks
BIG-IP Advanced Firewall Manager (AFM) und F5 Networks BIG-IP Application
Security Manager (ASM) in den Versionen 12.1.0 - 12.1.2, die Schwachstelle
CVE-2017-6145 betrifft die Versionen 12.0.0 - 12.1.2 und zusätzlich jeweils
die Version 13.0.0 und die Schwachstelle CVE-2017-6165 betrifft die
Versionen 12.0.0 - 12.1.2 und zusätzlich jeweils die Versionen 11.6.0 -
11.6.1 HF1 und 11.5.1 HF6 - 11.5.4. Die Versionen 13.0.0 (für CVE-2017-6145
die Version 13.0.0 HF1) und 12.1.2 HF1 werden zwar als Sicherheitsupdates
für alle Schwachstellen genannt, zur Behebung der Schwachstelle
CVE-2017-6165 muss aber zusätzlich den in der Security Advisory Recommended
Actions Sektion beschriebenen Empfehlungen gefolgt werden.
Patch:
F5 Networks Security Advisory K21154730: TMM SSL/TLS profile vulnerability
CVE-2017-6141
https://support.f5.com/csp/article/K21154730
Patch:
F5 Networks Security Advisory K22317030: iControl REST vulnerability
CVE-2017-6145
https://support.f5.com/csp/article/K22317030
Patch:
F5 Networks Security Advisory K74759095: SafeNet External Network HSM script
vulnerability CVE-2017-6165
https://support.f5.com/csp/article/K74759095
CVE-2017-6165: Schwachstelle in SafeNet External Network HSM ermöglicht
Denial-of-Service-Angriff
Auf VIPRION Plattformen schreibt das Skript, welches SafeNet External
Network HSM Konfigurationselemente zwischen Blades in einem Cluster-Setup
synchronisiert, das HSM Partition Password im Klartext in die Logdatei
‘/var/log/ltm’. Ein lokaler Angreifer mit Zugriff auf das geloggte Passwort
kann dies ausnutzen, um eine Unterbrechung des Dienstes (Denial-of-Service,
DoS) zu bewirken oder weiteren Einfluss auf die HSM Partition zu nehmen.
CVE-2017-6145: Schwachstelle in iControl REST ermöglicht Erlangen von
Administratorrechten
iControl REST beinhaltet einen Service zur Konvertierung der Autorisation
durch ‘BIGIPAuthCookie’-Cookies in ‘X-F5-Auth-Token’-Tokens. Dieser Service
führt jedoch bei der Konvertierung keine ordentliche Gegenprüfung der
Cookies aus, wodurch einst gültige, aber jetzt abgelaufene Cookies in
gültige Token umgewandelt werden. Ein entfernter, nicht authentisierter
Angreifer mit einem abgelaufenen BIG-IP Authentisierungs-Cookie kann dieses
verwenden, um ein gültiges iControl REST Authentisierungs-Token zu erlangen
und dadurch Zugriff über das iControl REST Interface auf ein BIG-IP System
zu erhalten.
CVE-2017-6141: Schwachstelle in Traffic Management Microkernel (TMM)
ermöglicht Denial-of-Service-Angriff
Bestimmte Werte in einem verkürzten TLS Handshake, wenn ein Client SSL
Profil mit aktivierter Option ‘Session Ticket’ verwendet wird, können einen
Neustart und dadurch die temporäre Unterbrechung des Dienstes für den
Traffic Management Microkernel (TMM) bewirken. Die Option ‘Session Ticket’
ist per Voreinstellung allerdings nicht aktiviert. Ein entfernter, nicht
authentisierter Angreifer kann einen Denial-of-Service (DoS)-Angriff gegen
den Traffic Management Microkernel (TMM) durchführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1873/
F5 Networks Security Advisory K21154730: TMM SSL/TLS profile vulnerability
CVE-2017-6141:
https://support.f5.com/csp/article/K21154730
F5 Networks Security Advisory K22317030: iControl REST vulnerability
CVE-2017-6145:
https://support.f5.com/csp/article/K22317030
F5 Networks Security Advisory K74759095: SafeNet External Network HSM script
vulnerability CVE-2017-6165:
https://support.f5.com/csp/article/K74759095
Schwachstelle CVE-2017-6141 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6141
Schwachstelle CVE-2017-6145 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6145
Schwachstelle CVE-2017-6165 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6165
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
