DFN-CERT-2017-1908 F5 Networks BIG-IP Advanced Firewall Manager (AFM), BIG-IP Application Security Manager (ASM): Mehrere Schwachstellen ermöglichen u.a. die Kompromittierung betroffener Systeme [Netzwerk]

DFN-CERT-2017-1908 F5 Networks BIG-IP Advanced Firewall Manager (AFM), BIG-IP Application Security Manager (ASM): Mehrere Schwachstellen ermöglichen u.a. die Kompromittierung betroffener Systeme [Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

F5 Networks BIG-IP Advanced Firewall Manager (AFM) >= 11.4.0
F5 Networks BIG-IP Advanced Firewall Manager (AFM) < 11.5.5 F5 Networks BIG-IP Advanced Firewall Manager (AFM) <= 11.6.0 F5 Networks BIG-IP Advanced Firewall Manager (AFM) < 11.6.2 F5 Networks BIG-IP Advanced Firewall Manager (AFM) >= 12.0.0
F5 Networks BIG-IP Advanced Firewall Manager (AFM) < 12.1.2 HF1 F5 Networks BIG-IP Advanced Firewall Manager (AFM) 13.0.0 F5 Networks BIG-IP Advanced Firewall Manager (AFM) < 13.0.0 HF1 F5 Networks BIG-IP Application Security Manager (ASM) >= 11.4.0
F5 Networks BIG-IP Application Security Manager (ASM) < 11.5.5 F5 Networks BIG-IP Application Security Manager (ASM) >= 11.6.0
F5 Networks BIG-IP Application Security Manager (ASM) < 11.6.2 F5 Networks BIG-IP Application Security Manager (ASM) >= 12.0.0
F5 Networks BIG-IP Application Security Manager (ASM) < 12.1.2 HF1 F5 Networks BIG-IP Application Security Manager (ASM) 13.0.0 F5 Networks BIG-IP Application Security Manager (ASM) < 13.0.0 HF1 Betroffene Plattformen: F5 Networks BIG-IP Systeme Mehrere Schwachstellen in verschiedenen Komponenten von BIG-IP-Systemen ermöglichen einem entfernten, nicht authentisierten Angreifer die Kompromittierung des gesamten Systems und verschiedene Denial-of-Service (DoS)-Angriffe. Eine Schwachstelle ermöglicht einem nicht authentisierten Angreifer im benachbarten Netzwerk das Umgehen von Sicherheitsvorkehrungen. F5 Networks veröffentlicht BIG-IP 11.6.2 zur Behebung aller Schwachstellen für verschiedene Produkte. Unter anderem steht die neue Version für den BIG-IP Advanced Firewall Manager (AFM) und den BIG-IP Application Security Manager (ASM) zur Verfügung. Die Schwachstellen betreffen unterschiedliche Versionszweige der einzelnen Produkte. Die Version 13.0.0 ist nur von der Schwachstelle CVE-2017-0303 betroffen. Die Versionen 13.0.0 HF1, 12.1.2 HF1 und 11.5.5 beheben die Schwachstellen ebenfalls oder sind nicht von diesen betroffen. Genauere Informationen entnehmen Sie bitte den referenzierten Sicherheitshinweisen. Patch: BIG-IP Release Notes 11.6.2 https://support.f5.com/kb/en-us/products/big-ip_ltm/releasenotes/product/relnote-bigip-ve-11-6-2.html

CVE-2017-6163: Schwachstelle in BIG-IP Virtual Server ermöglicht
Denial-of-Service-Angriff

Falls ein BIG-IP Virtual Server mit assoziiertem Client-SSL-Profil und
HTTP/2- oder SPDY-Profil eine größere Anzahl an Verbindungen erhält, als in
den Profileinstellungen festgelegt ist (Standardeinstellung: keine
Einschränkung für Verbindungen, zehn ‘Concurrent Streams’ pro Verbindung),
kann es zur Unterbrechung des Dienstes kommen. Ein entfernter, nicht
authentisierter Angreifer kann durch wiederholten Verbindungsaufbau einen
Denial-of-Service-Angriff ausführen.

CVE-2017-6162: Schwachstelle in Traffic Management Microkernel (TMM)
ermöglicht Denial-of-Service-Angriff

Ein entfernter, nicht authentisierter Angreifer kann den Traffic Management
Microkernel (TMM) mit Hilfe speziell präparierter TCP-Daten zum Absturz
bringen (Denial-of-Service).

CVE-2017-6161: Schwachstelle in ConfigSync ernmöglicht Umgehen von
Sicherheitsvorkehrungen

Bei Verwendung der ‘Configuration Synchronization’ (ConfigSync) ist es nicht
authentisierten Angreifern aus dem benachbarten Netzwerk möglich,
TLS-Schutzvorkehrungen zu umgehen. Ein Angreifer kann dadurch möglicherweise
Informationen aus verschlüsseltem Datenverkehr erhalten oder unautorisiert
Verbindungen zum Master Control Program Daemon ‘mcpd’ herstellen. Dieser
Dienst ermöglicht die Zwei-Wege-Kommunikation zwischen Userland und Traffic
Management Microkernel (TMM).

CVE-2017-6159: Schwachstelle in Traffic Management Microkernel (TMM)
ermöglicht Denial-of-Service-Angriff

BIG-IP-Systems mit aktivierter MPTCP-Option auf virtuellen Servern sind
durch einen entfernten, nicht authentisierten Angreifer angreifbar, wenn die
MPTCP-Option eines TCP-Profils verwendet wird. Der Angreifer kann den
Traffic Management Microkernel (TMM) auf nicht spezifizierte Weise zum
Neustart bringen, wodurch die Verarbeitung von Datenverkehr kurzzeitig
unterbrochen wird.

CVE-2017-6157: Schwachstelle in BIG-IP Virtual Server ermöglicht
Kompromittierung des Systems

Virtuelle BIG-IP-Server mit HTTP Explicit Proxy-Funktionalität oder
SOCKS-Profil sind durch einen entfernten, nicht authentisierten Angreifer
auf nicht näher spezifizierte Art und Weise angreifbar. Der Angreifer kann
durch einen erfolgreichen Angriff die BIG-IP-Systemkonfiguration
manipulieren, sensitive Systemdateien ausspähen und möglicherweise
beliebigen Programmcode auf einem betroffenen BIG-IP-System ausführen.

CVE-2017-0303: Schwachstelle in BIG-IP Virtual Server ermöglicht
Denial-of-Service-Angriff

Unter bestimmten Umständen werden Verbindungen, die von einem virtuellen
Server mit zugewiesenem SOCKS-Profil verarbeitet werden, nicht ausreichend
aufgeräumt. Ein entfernter, nicht authentisierter Angreifer kann durch eine
Vielzahl solcher Verbindungen ein BIG-IP-System dazu bringen, keine weiteren
Verbindungen anzunehmen. In diesem Fall können die Verbindungen nur durch
Neustart des Traffic Management Microkernel (TMM) aus der Verbindungstabelle
entfernt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1908/

BIG-IP Release Notes 11.6.2:
https://support.f5.com/kb/en-us/products/big-ip_ltm/releasenotes/product/relnote-bigip-ve-11-6-2.html

F5 Networks Security Advisory K02692210: BIG-IP virtual server with HTTP
Explicit Proxy and/or SOCKS vulnerability CVE-2017-6157:
https://support.f5.com/csp/article/K02692210

F5 Networks Security Advisory K10002335: TMM vulnerability CVE-2017-6159:
https://support.f5.com/csp/article/K10002335

F5 Networks Security Advisory K13421245: TMM vulnerability CVE-2017-6162:
https://support.f5.com/csp/article/K13421245

F5 Networks Security Advisory K22541983: BIG-IP virtual servers with Client
SSL and HTTP/2 or SPDY configured vulnerability CVE-2017-6163:
https://support.f5.com/csp/article/K22541983

F5 Networks Security Advisory K30201296: SOCKS proxy vulnerability
CVE-2017-0303:
https://support.f5.com/csp/article/K30201296

F5 Networks Security Advisory K62279530: ConfigSync mcpd vulnerability
CVE-2017-6161:
https://support.f5.com/csp/article/K62279530

Schwachstelle CVE-2017-0303 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0303

Schwachstelle CVE-2017-6157 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6157

Schwachstelle CVE-2017-6159 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6159

Schwachstelle CVE-2017-6161 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6161

Schwachstelle CVE-2017-6162 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6162

Schwachstelle CVE-2017-6163 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6163

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben