Admins, die BIG-IP Appliances von F5 einsetzen, sollten zügig die aktuellen Sicherheitsupdates installieren. Angreifer nutzen derzeit eine "kritische" Sicherheitslücke mit Höchstwertung aus, um Schadcode auf Systemen auszuführen.
Davor warnt die Cybersecurity and Infrastructure Security Agency (CISA) in einem Beitrag. Eigenen Angaben zufolge beobachten sie, wie Angreifer Exploit-Code anwenden, um die Schwachstelle CVE-2020-5902 auszunutzen. Die Lücke im Traffic Management User Interface (TMUI) ist bereits seit Anfang Juli bekannt – zu diesem Zeitpunkt erschienen auch die Sicherheitsupdates.
Konkret betroffen sind BIG-IP Applliances wie Application Acceleration und Local Traffic Manager. Abgesichert sind die folgenden Versionen:
- 15.1.0.4
- 14.1.2.6
- 13.1.3.4
- 12.1.5.2
- 11.6.5.2
Ist eine Attacke erfolgreich, könnten Angreifer die volle Kontrolle erlangen und so in Netzwerke eindringen. Admins sollten dringend die Warnmeldung von F5 studieren. Dort finden sie unter anderem Hinweise, wie man bereits kompromittierte Geräte erkennt. Dafür gibt es auch ein Tool auf Github. Wurde ein Zugriff erkannt, müssen Geräte umgehend vom restlichen Netz abgeklemmt werden.
Können Admins die Updates zurzeit nicht installieren, sollten sie die Zugriffe auf bestimmte Accounts einschränken. Ratsam ist es auch, verwundbare Appliances ausschließlich in einem separierten Teil des Firmennetzes laufen zu lassen. Außerdem sollten Admins aus Sicherheitsgründen neue Zugangsdaten mit frischen Passwörtern für alle Accounts vergeben.
Quelle: Jetzt patchen! Angreifer attackieren BIG-IP Appliances von F5 | heise online