FortiGuard Labs è consapevole del fatto che F5 ha rilasciato un avviso di sicurezza il 24 agosto sulle vulnerabilità che interessano più versioni di BIG-IP e BIG-IQ. Il giorno successivo la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha pubblicato un avviso in cui esortava i clienti ad applicare le correzioni o a mettere in atto le mitigazioni necessarie. Delle 13 vulnerabilità valutate con un punteggio elevato dal fornitore, CVE-2021-23031 riceve il punteggio CVSS più alto di 8,8 su 10 e interessa BIG-IP Advanced WAF e Application Security Manager (ASM). In caso di abuso, la vulnerabilità consente “un utente malintenzionato autenticato con accesso all’utilità di configurazione può eseguire comandi di sistema arbitrari, creare o eliminare file e/o disabilitare i servizi”, il che potrebbe comportare l’acquisizione del controllo completo del punteggio CVSS e della valutazione dell’attacco. passa rispettivamente a 9.9 e Critical quando i prodotti sono in esecuzione in modalità Appliance. Poiché la modalità Appliance è descritta come “progettata per soddisfare le esigenze dei clienti in settori particolarmente sensibili”, CVE-2021-23031 richiede ulteriore attenzione e cura. Quando il fornitore ha pubblicato l’avviso? Il fornitore ha rilasciato l’avviso il 24 agosto 2021. Analisi dettagliata dell’avviso L’avviso presenta 13 vulnerabilità elevate, 15 vulnerabilità medie, 1 vulnerabilità bassa e 6 rischi per la sicurezza che interessano più versioni di BIG-IP e BIG-IQ. Tuttavia, la classificazione elevata per CVE-2021-23031 viene elevata a critica quando i prodotti interessati vengono eseguiti in modalità Appliance. Per ulteriori dettagli, vedere l’appendice per un collegamento a “K50974556: Panoramica delle vulnerabilità di F5 (agosto 2021)” Qual è il Risultato dello sfruttamento riuscito di CVE-2021-23031? Lo sfruttamento riuscito consente “un utente malintenzionato autenticato con accesso all’utilità di configurazione può eseguire comandi di sistema arbitrari, creare o eliminare file e/o disabilitare i servizi”. Nella peggiore delle ipotesi, la vulnerabilità consente all’attacco di assumere il controllo completo del sistema. Quali sono i dettagli tecnici di CVE-2021-23031? L’avviso non offre molti dettagli tecnici, né perché ci sono due classificazioni separate per la vulnerabilità diverso dalla classificazione 9,9 si applica al “numero limitato di clienti che utilizzano la modalità Appliance”. Per ulteriori dettagli, vedere l’Appendice per un collegamento a “K41351250: BIG-IP Advanced WAF e BIG-IP ASM vulnerabilità CVE-2021-23031″Cosa è la modalità Appliance?F5 fornisce quanto segue per quanto riguarda la modalità Appliance:I sistemi BIG-IP hanno la possibilità di funzionare in modalità Appliance. La modalità Appliance è progettata per soddisfare le esigenze dei clienti in settori particolarmente sensibili limitando l’accesso amministrativo al sistema BIG-IP in modo che corrisponda a quello di una tipica appliance di rete e non di un dispositivo UNIX multiutente.Per maggiori dettagli, vedere l’Appendice per un collegamento a “K12815: Panoramica della modalità Appliance”. In che modo ciò influisce sulla gravità complessiva di CVE-2021-23031? Combinando i fatti che la vulnerabilità consente a un utente malintenzionato autenticato di assumere il controllo completo del sistema, il punteggio CVSS è 9,9 quando i prodotti interessati sono in esecuzione in modalità apparecchio. Poiché la modalità Appliance è progettata appositamente per i settori sensibili, la gravità effettiva potrebbe essere ancora maggiore. Quali prodotti sono vulnerabili a CVE-2021-23031? BIG-IP Advanced Web Application Firewall (WAF) e Application Security Manager (ASM) sono vulnerabili a CVE -2021-23031. Quali versioni di WAF e ASM sono vulnerabili a CVE-2021-23031? Le seguenti versioni sono elencate come vulnerabili per F5:16.0.0 – 16.0.115.1.0 – 15.1.214.1.0 – 14.1.413.1. 0 – 13.1.312.1.0 – 12.1.511.6.1 – 11.6.5 La vulnerabilità è sfruttata in natura?Al momento della stesura di questo articolo, FortiGuard Labs non è a conoscenza della vulnerabilità sfruttata in natura, monitorare la situazione e fornire aggiornamenti non appena diventano disponibili.C’è qualche mitigazione per CVE-2021-23031?Secondo l’avviso, “l’unica mitigazione è rimuovere l’accesso (all’utilità di configurazione) per gli utenti che non sono completamente attendibili”. Il fornitore ha rilasciato patch per le vulnerabilità nel loro Advisor di agosto 2021 y?Sì, il fornitore ha rilasciato patch per tutte le vulnerabilità elencate nell’avviso, incluso CVE-2021-23031. Qual è lo stato della copertura?Al momento della scrittura, non sono disponibili informazioni sufficienti e codice Proof-of-Concept per la creazione di protezioni da parte di FortiGuard Labs. FortiGuard Labs continuerà a monitorare la situazione e fornire aggiornamenti non appena disponibili.
