UPDATE: DFN-CERT-2017-2306 F5 Networks BIG-IP Advanced Firewall Manager (AFM), BIG-IP Application Security Manager (ASM): Zwei Schwachstellen ermöglichen u.a. einen Denial-of-Service-Angriff [Netzwerk]

UPDATE: DFN-CERT-2017-2306 F5 Networks BIG-IP Advanced Firewall Manager (AFM), BIG-IP Application Security Manager (ASM): Zwei Schwachstellen ermöglichen u.a. einen Denial-of-Service-Angriff [Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (22.12.2017):
F5 Networks hat Informationen zu weiteren Schwachstellen veröffentlicht,
die mit den neuen Versionen 12.1.3 und 13.1.0 unter anderem für BIG-IP
Advanced Firewall Manager (AFM) und BIG-IP Application Security Manager
(ASM) behoben worden sind. Die meisten der neuen Schwachstellen bestehen
im Traffic Management Microkernel (TMM) und ermöglichen einem entfernten,
nicht authentisierten Angreifer die Durchführung von
Denial-of-Service-Angriffen, durch die der Kernel neu startet. Eine der
Schwachstellen ermöglicht dem Angreifer zusätzlich die Ausführung
beliebigen Programmcodes in BIG-IP-Systemen mit ClientSSL-Profil. Darüber
hinaus wird eine Schwachstelle in der iControl REST API behoben, die einem
entfernten Angreifer mit Zugriff auf die Programmschnittstelle u.a. die
Eskalation seiner Privilegien ermöglicht. Mit den neuen Programmversionen
12.1.3 und 13.1.0 werden zusätzliche Schwachstellen in den Komponenten
Wireshark (tshark), NTP, libarchive und tcpdump behoben, die unter anderem
weitere Denial-of-Service-Angriffe ermöglichen.
Version 1 (20.12.2017):
Neues Advisory

Betroffene Software:

F5 Networks BIG-IP Advanced Firewall Manager (AFM) >= 11.5.1
F5 Networks BIG-IP Advanced Firewall Manager (AFM) <= 11.5.4 F5 Networks BIG-IP Advanced Firewall Manager (AFM) < 11.5.5 F5 Networks BIG-IP Advanced Firewall Manager (AFM) 11.6.1 F5 Networks BIG-IP Advanced Firewall Manager (AFM) < 11.6.2 F5 Networks BIG-IP Advanced Firewall Manager (AFM) >= 12.0.0
F5 Networks BIG-IP Advanced Firewall Manager (AFM) <= 12.1.2 F5 Networks BIG-IP Advanced Firewall Manager (AFM) < 12.1.3 F5 Networks BIG-IP Advanced Firewall Manager (AFM) 13.0.0 F5 Networks BIG-IP Advanced Firewall Manager (AFM) < 13.0.0 HF1 F5 Networks BIG-IP Advanced Firewall Manager (AFM) < 13.1.0 F5 Networks BIG-IP Application Security Manager (ASM) >= 11.5.1
F5 Networks BIG-IP Application Security Manager (ASM) <= 11.5.4 F5 Networks BIG-IP Application Security Manager (ASM) < 11.5.5 F5 Networks BIG-IP Application Security Manager (ASM) 11.6.1 F5 Networks BIG-IP Application Security Manager (ASM) < 11.6.2 F5 Networks BIG-IP Application Security Manager (ASM) >= 12.0.0
F5 Networks BIG-IP Application Security Manager (ASM) <= 12.1.2 F5 Networks BIG-IP Application Security Manager (ASM) < 12.1.3 F5 Networks BIG-IP Application Security Manager (ASM) < 13.1.0 Betroffene Plattformen: F5 Networks BIG-IP Systeme Eine Schwachstelle u.a. im BIG-IP Advanced Firewall Manager (AFM) und Application Security Manager (ASM) ermöglicht einem entfernten, nicht authentisierten Angreifer das Bewirken eines Denial-of-Service-Zustandes (CVE-2017-6140). Eine weitere Schwachstelle, die nur den BIG-IP Advanced Firewall Manager betrifft, ermöglicht einem entfernten, authentisierten Angreifer einen SQL Injection-Angriff (CVE-2017-0304). Zur Behebung der Denial-of-Service-Schwachstelle im Traffic Management Microkernel (TMM) stehen die BIG-IP AFM und ASM Versionen 11.5.5, 11.6.2 und 12.1.3 zur Verfügung. Der Versionszweig 13.x ist nicht von dieser Schwachstelle betroffen. Die SQL Injection-Schwachstelle wird mittels der BIG-IP AFM Versionen 12.1.3 und 13.0.0 HF1 behoben. Patch: F5 Networks Security Advisory K02714910: TLS vulnerability CVE-2017-6164 https://support.f5.com/csp/article/K02714910

Patch:

F5 Networks Security Advisory K12044607: TMM vulnerability CVE-2017-6132

https://support.f5.com/csp/article/K12044607

Patch:

F5 Networks Security Advisory K25033460: TMM vulnerability CVE-2017-6133

https://support.f5.com/csp/article/K25033460

Patch:

F5 Networks Security Advisory K34514540: TMM vulnerability CVE-2017-6138

https://support.f5.com/csp/article/K34514540

Patch:

F5 Networks Security Advisory K37404773: TMM vulnerability CVE-2017-6134

https://support.f5.com/csp/article/K37404773

Patch:

F5 Networks Security Advisory K39428424: SQL injection vulnerability
CVE-2017-0304

https://support.f5.com/csp/article/K39428424

Patch:

F5 Networks Security Advisory K43322910: Linux kernel vulnerability
CVE-2017-6135

https://support.f5.com/csp/article/K43322910

Patch:

F5 Networks Security Advisory K55102452: TMM vulnerability CVE-2017-6140

https://support.f5.com/csp/article/K55102452

Patch:

F5 Networks Security Advisory K81137982: TMM vulnerability CVE-2017-6136

https://support.f5.com/csp/article/K81137982

Patch:

F5 Networks Security Advisory K07369970: TMM vulnerability CVE-2017-6151

https://support.f5.com/csp/article/K07369970

Patch:

F5 Networks Security Advisory K24465120: iControl REST vulnerability
CVE-2017-6167

https://support.f5.com/csp/article/K24465120

CVE-2017-6167: Schwachstelle in iControl REST ermöglicht
Privilegieneskalation

Verschiedene über die iControl REST API eingereichte Anfragen können
miteinander konkurrieren (Race Condition) und werden dadurch unter Umständen
mit den Berechtigungen eines anderen Benutzers ausgeführt. Ein entfernter,
einfach authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
seine Privilegien zu eskalieren oder die Anfragen anderer Benutzer zu
beeinflussen.

CVE-2017-6164: Schwachstelle in Traffic Management Microkernel (TMM)
ermöglicht u.a. Ausführung beliebigen Programmcodes

Der Traffic Management Microkernel (TMM) in BIG-IP-Systemen mit
ClientSSL-Profil behandelt unter nicht näher spezifizierten Umständen
bestimmte TLS1.2-Einträge fehlerhaft. Ein entfernter, nicht authentisierter
Angreifer kann dadurch einen Denial-of-Service-Angriff durchführen und
möglicherweise beliebigen Programmcode zur Ausführung bringen.

CVE-2017-6151: Schwachstelle in Traffic Management Microkernel (TMM)
ermöglicht Denial-of-Service-Angriff

Über nicht näher spezifizierte Anfragen kann der Traffic Management
Microkernel (TMM) in virtuellen BIG-IP-Servern mit HTTP/2-Profil außer
Betrieb gesetzt werden. Ein entfernter, nicht authentisierter Angreifer kann
dadurch einen Denial-of-Service Angriff durchführen.

CVE-2017-6138: Schwachstelle in Traffic Management Microkernel (TMM)
ermöglicht Denial-of-Service-Angriff

Durch Anfragen an virtuelle Server mit HTTP-Profil kann ein entfernter,
nicht authentisierter Angreifer den Traffic Management Microkernel (TMM) zum
Neustart zwingen. Die Schwachstelle tritt auf, wenn in den iRules der
‘-normalized’ Switch oder in den BIG-IP LTM Richtlinien die standardmäßig
nicht aktivierte Option ‘normalize URI’ verwendet wird.

CVE-2017-6136: Schwachstelle in Traffic Management Microkernel (TMM)
ermöglicht Denial-of-Service-Angriff

Virtuelle BIG-IP Server, die die Optionen TCP Fast Open und Tail Loss Probe
aktiviert haben, können durch nicht näher spezifizierte Datenverkehrmuster
den Traffic Management Microkernel (TMM) außer Betrieb setzen. Ein
entfernter, nicht authentisierter Angreifer kann dadurch einen
Denial-of-Service-Angriff ausführen. Die Schwachstelle kann nur ausgenutzt
werden, wenn die beiden genannten Optionen gleichzeitig aktiviert sind,
standardmäßig sind sie deaktiviert.

CVE-2017-6135: Schwachstelle in BIG-IP-Kernel ermöglicht
Denial-of-Service-Angriff

Durch bestimmte IPv4- und IPv6-Pakete, die an den BIG-IP Management-Port
oder die eigene IP-Adresse gesendet werden, kann ein Speicherleck auftreten.
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen und den Systemspeicher erschöpfen, wodurch ein
Denial-of-Service-Zustand eintritt (Out-of-Memory Condition).

CVE-2017-6134: Schwachstelle in Traffic Management Microkernel (TMM)
ermöglicht Denial-of-Service-Angriff

Eine nicht näher spezifizierte Sequenz von Paketen kann, aus einem
benachbarten Netzwerk kommend, den Traffic Management Microkernel (TMM) zum
Absturz bringen. Die Schwachstelle besteht in der Default-Konfiguration
verschiedener BIG-IP Produkte.

CVE-2017-6133: Schwachstelle in Traffic Management Microkernel (TMM)
ermöglicht Denial-of-Service-Angriff

Durch bestimmte HTTP-Anfragen, die von der URI-Parser-Bibliothek des Traffic
Management Microkernels (TMM) verarbeitet werden, kann ein entfernter, nicht
authentisierter Angreifer einen Neustart des TMM erzwingen.

CVE-2017-6132: Schwachstelle in Traffic Management Microkernel (TMM)
ermöglicht Denial-of-Service-Angriff

Durch eine nicht näher spezifizierte Paketsequenz, die an BIG-IP High
Availability State Mirror Listener gesendet wird, kann ein entfernter, nicht
authentisierter Angreifer den Traffic Management Microkernel (TMM) zum
Neustart zwingen. In der Folge wird kurzzeitig kein Datenverkehr
prozessiert.

CVE-2017-6140: Schwachstelle in Traffic Management Microkernel (TMM)
ermöglicht Denial-of-Service-Angriff

Eine nicht näher spezifizierte Sequenz von Paketen, die an einen virtuellen
Server mit Client- oder Server-SSL-Profil gesendet werden, kann eine
Unterbrechung der Datenverarbeitung bewirken. Ein entfernter, nicht
authentisierter kann diese Schwachstelle im Traffic Management Microkernel
(TMM) in verschiedenen BIG-IP Produkten ausnutzen, um einen
Denial-of-Service-Angriff auszuführen.

CVE-2017-0304: Schwachstelle in BIG-IP AFM ermöglicht SQL Injection

Es existiert eine nicht näher spezifizierte Schwachstelle im
Konfigurationswerkzeug (Configuration Utility) des BIG-IP Advanced Firewall
Managers (AFM), durch die SQL-Programmcode in die Anwendung injiziert werden
kann. Ein entfernter, authentisierter Angreifer kann die Schwachstelle
ausnutzen, um die konfigurierten Firewall-Regeln temporär zu beeinflussen.

CVE-2017-6147: Schwachstelle in BIG-IP Produkten ermöglicht
Denial-of-Service-Angriff

In den F5 BIG-IP Produkten LTM, AAM, AFM, Analytics, APM, ASM, DNS, Link
Controller, PEM und WebSafe in den Versionen 12.1.2 HF1 und 13.0.0 existiert
eine Schwachstelle, wenn dafür BIG-IP Virtual Server mit “SSL Forward Proxy”
Einstellung sowohl in den zugewiesenen Client als auch Server SSL ‘Profile
Deployments’ aktiviert ist. Eine ungenannte Serie von Anfragen kann zu einem
Neustart des Traffic Management Microkernel (TMM) und infolgedessen zu einer
Unterbrechung des Dienstes führen. Kunden mit Anwendungsszenarien, in denen
sich das ‘SSL Forward Proxy’ Setup mit nicht vertrauenswürdigen Servern
verbindet, sind dabei einem höheren Risiko ausgesetzt, als Kunden mit
Anwendungsszenarien, in denen sich das ‘SSL Forward Proxy’ Setup nur mit
vertrauenswürdigen Servern verbindet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2306/

Schwachstelle CVE-2017-6147 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6147

F5 Networks Security Advisory K02714910: TLS vulnerability CVE-2017-6164:
https://support.f5.com/csp/article/K02714910

F5 Networks Security Advisory K12044607: TMM vulnerability CVE-2017-6132:
https://support.f5.com/csp/article/K12044607

F5 Networks Security Advisory K25033460: TMM vulnerability CVE-2017-6133:
https://support.f5.com/csp/article/K25033460

F5 Networks Security Advisory K34514540: TMM vulnerability CVE-2017-6138:
https://support.f5.com/csp/article/K34514540

F5 Networks Security Advisory K37404773: TMM vulnerability CVE-2017-6134:
https://support.f5.com/csp/article/K37404773

F5 Networks Security Advisory K39428424: SQL injection vulnerability
CVE-2017-0304:
https://support.f5.com/csp/article/K39428424

F5 Networks Security Advisory K43322910: Linux kernel vulnerability
CVE-2017-6135:
https://support.f5.com/csp/article/K43322910

F5 Networks Security Advisory K55102452: TMM vulnerability CVE-2017-6140:
https://support.f5.com/csp/article/K55102452

F5 Networks Security Advisory K81137982: TMM vulnerability CVE-2017-6136:
https://support.f5.com/csp/article/K81137982

Schwachstelle CVE-2017-0304 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0304

Schwachstelle CVE-2017-6140 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6140

F5 Networks Security Advisory K07369970: TMM vulnerability CVE-2017-6151:
https://support.f5.com/csp/article/K07369970

F5 Networks Security Advisory K24465120: iControl REST vulnerability
CVE-2017-6167:
https://support.f5.com/csp/article/K24465120

F5 Networks Security Advisory K43945001: TMM vulnerability CVE-2017-6147:
https://support.f5.com/csp/article/K43945001

Schwachstelle CVE-2017-6132 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6132

Schwachstelle CVE-2017-6133 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6133

Schwachstelle CVE-2017-6134 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6134

Schwachstelle CVE-2017-6135 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6135

Schwachstelle CVE-2017-6136 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6136

Schwachstelle CVE-2017-6138 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6138

Schwachstelle CVE-2017-6151 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6151

Schwachstelle CVE-2017-6164 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6164

Schwachstelle CVE-2017-6167 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6167

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben