Angreifer könnten an verschiedenen Lücken in BIG-IP Appliances wie Application Acceleration Manager und Local Traffic Manager ansetzen und Schadcode auf Systemen ausführen. Sicherheitsupdates schaffen Abhilfe.
Die "kritische" Lücke mit der Kennung CVE-2020-5902 ist mit dem höchstmöglichen CVSSv3 Score 10 von 10 eingestuft. Die Schwachstelle betrifft das Traffic Management User Interface (TMUI).
Dort sollen Angreifer ohne Authentifizierung für Remote-Code-Execution-Attacken ansetzen können. So etwas endet in der Regel in einer vollständigen Kompromittierung eines Systems. Die folgenden BIG-IP-Versionen sind repariert:
- 15.1.0.4
- 14.1.2.6
- 13.1.3.4
- 12.1.5.2
- 11.6.5.2
Weitere gefährliche Schwachstellen
Das TMUI ist darüber hinaus noch für eine CSFR-Attacke (CVE-2020-5904) anfällig. Hier könnte ein Angreifer eine Admin-Session für die Ausführung von eigenen Kommandos missbrauchen. Eine weitere Lücke (CVE-2020-5903) in TMUI) könnte als Ansatzpunkt für eine XSS-Attacke dienen. Klappt das, könnten Angreifer JavaScript mit den Rechten eines zum Zeitpunkt des Angriffs eingeloggten Opfers ausführen. Der von beiden Lücken ausgehende Bedrohungsgrad ist mit "hoch" eingestuft.
Durch das Ausnutzen weiterer Schwachstellen sind noch Zugriffe auf eigentlich abgeschottete Dateien und anschließender Manipulation möglich. Außerdem könnten Session IDs leaken. Die verbleibenden Lücken sind mit "mittel" und "niedrig" eingestuft.
Liste nach Bedrohungsgrad absteigend sortiert:
- TMUI RCE vulnerability CVE-2020-5902
- TMUI CSRF vulnerability CVE-2020-5904
- BIG-IP TMUI XSS vulnerability CVE-2020-5903
- TMOS Shell privilege escalation vulnerability CVE-2020-5907
- TMUI vulnerability CVE-2020-5905
- BIG-IP SCP vulnerability CVE-2020-5906
- BIG-IP APM Linux Edge Client logging vulnerability CVE-2020-5908