Идентификатор: BDU:2022-06935.
Наименование уязвимости: Уязвимость интерфейса iControl SOAP средств контроля доступа и удаленной аутентификации BIG-IP и серверного программного обеспечения BIG-IQ Centralized Management, позволяющая нарушителю выполнить произвольные команд с повышенными привилегиями.
Описание уязвимости: Уязвимость интерфейса iControl SOAP средств контроля доступа и удаленной аутентификации BIG-IP и серверного программного обеспечения BIG-IQ Centralized Management связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команд с повышенными привилегиями
Уязвимое ПО: Средство защиты, Программное средство защиты F5 Networks, Inc. BIG-IQ Centralized Management от 8.0.0 до 8.2.0 включительно | Средство защиты, Программное средство защиты F5 Networks, Inc. BIG-IQ Centralized Management от 7.0.0 до 7.1.0 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Access Policy Manager от 13.1.0 до 13.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Advanced Firewall Manager от 13.1.0 до 13.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Analytics от 13.1.0 до 13.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Application Acceleration Manager от 13.1.0 до 13.1.5 включительно | Средство защиты, Программное средство защиты F5 Networks, Inc. BIG-IP Fraud Protection Service от 13.1.0 до 13.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Global Traffic Manager от 13.1.0 до 13.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Link Controller от 13.1.0 до 13.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Local Traffic Manager от 13.1.0 до 13.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Policy Enforcement Manager от 13.1.0 до 13.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Access Policy Manager 17.0.0 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Access Policy Manager от 16.1.0 до 16.1.3 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Access Policy Manager от 15.1.0 до 15.1.8 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Access Policy Manager от 14.1.0 до 14.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Advanced Firewall Manager 17.0.0 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Advanced Firewall Manager от 16.1.0 до 16.1.3 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Advanced Firewall Manager от 15.1.0 до 15.1.8 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Advanced Firewall Manager от 14.1.0 до 14.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Analytics от 14.1.0 до 14.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Analytics от 15.1.0 до 15.1.8 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Analytics от 16.1.0 до 16.1.3 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Analytics 17.0.0 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Application Acceleration Manager от 14.1.0 до 14.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Application Acceleration Manager от 15.1.0 до 15.1.8 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Application Acceleration Manager от 16.1.0 до 16.1.3 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Application Acceleration Manager 17.0.0 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP DNS 17.0.0 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP DNS от 16.1.0 до 16.1.3 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP DNS от 15.1.0 до 15.1.8 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP DNS от 14.1.0 до 14.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP DNS от 13.1.0 до 13.1.5 включительно | Средство защиты, Программное средство защиты F5 Networks, Inc. BIG-IP Fraud Protection Service от 14.1.0 до 14.1.5 включительно | Средство защиты, Программное средство защиты F5 Networks, Inc. BIG-IP Fraud Protection Service от 15.1.0 до 15.1.8 включительно | Средство защиты, Программное средство защиты F5 Networks, Inc. BIG-IP Fraud Protection Service от 16.1.0 до 16.1.3 включительно | Средство защиты, Программное средство защиты F5 Networks, Inc. BIG-IP Fraud Protection Service 17.0.0 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Global Traffic Manager 17.0.0 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Global Traffic Manager от 16.1.0 до 16.1.3 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Global Traffic Manager от 15.1.0 до 15.1.8 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Global Traffic Manager от 14.1.0 до 14.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Link Controller от 14.1.0 до 14.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Link Controller от 15.1.0 до 15.1.8 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Link Controller от 16.1.0 до 16.1.3 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Link Controller 17.0.0 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Local Traffic Manager от 14.1.0 до 14.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Local Traffic Manager от 15.1.0 до 15.1.8 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Local Traffic Manager от 16.1.0 до 16.1.3 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Local Traffic Manager 17.0.0 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Policy Enforcement Manager от 14.1.0 до 14.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Policy Enforcement Manager от 15.1.0 до 15.1.8 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Policy Enforcement Manager от 16.1.0 до 16.1.3 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Policy Enforcement Manager 17.0.0 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 16.11.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
– отключение аутентификации для iControl SOAP:
1. Войти в оболочку управления трафиком (tmsh), введя следующую команду:
tmsh
2. Отключить обычную аутентификацию для iControl SOAP, введя следующую команду:
modify sys db icontrol.basic_auth value disable
3. Сохранить конфигурацию, введя следующую команду:
save sys config
– ограничение доступа к iControl SOAP API
1. Войти в оболочку управления трафиком (tmsh), введя следующую команду:
tmsh
2. Удалить все IP-адреса из списка разрешенных, введя следующую команду:
modify /sys icontrol-soap allow replace-all-with {}
3. Сохранить конфигурацию, введя следующую команду:
save sys config
Использование рекомендаций производителя:
https://support.f5.com/csp/article/K94221585.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-41622.
Тип ошибки CWE: CWE-352
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://support.f5.com/csp/article/K94221585
