[TLP:CLEAR] F5 BIG-IP opravuje 17 zranitelností ve svých produktech

F5 opravuje 17 zranitelností ve svých produktech [1]. Nejzávažnější zranitelnosti jsou uvedeny níže. Jednotlivé produkty a jejich opravené verze: BIG-IP (všechny moduly) - 17.1.2.1, 16.1.5.2, 15.1.10.6, Hotfix-BIGIP-16.1.5.2.0.7.5-ENG.iso, Hotfix-BIGIP-15.1.10.6.0.11.6-ENG.iso BIG-IP Next Central Manager - 20.3.0 BIG-IP Next SPK - 1.9.1, 1.7.7 BIG-IP Next CNF - 1.4.0 NGINX Plus - R33 P2, R32 P2 NGINX Open Source - 1.27.4, 1.26.3 Detailní informace o opravených verzích pro jednotlivé zranitelnosti lze nalézt v přehledné tabulce na [1].

F5 BIG-IP - system command execution (CVE-2025-20029) CVSS 8.8 (High)

Autentizovanému vzdálenému útočníkovi je zasíláním specifických dotazů přes iControl REST ve všech modulech BIG-IP umožněno spouštět libovolné systémové příkazy a vytvářet/mazat soubory. Zranitelnost lze obdobným způsobem zneužít také lokálně pomocí tmsh příkazu přes TMOS Shell. Není-li možné aktualizovat na opravenou verzi ihned, lze riziko dočasně mitigovat omezením přístupu k rozhraní iControl REST a příkazové řádce přes SSH na důvěryhodné sítě a zařízení dle jednoho z postupů na [2].

Zranitelnost se nachází v produktu BIG-IP ve verzích (>=15.1.0 AND <=15.1.10) OR (>=16.1.0 AND <=16.1.5) OR (>=17.1.0 AND <=17.1.2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 5. 2. 2025.

F5 BIG-IP - system command execution (CVE-2025-23239) CVSS 8.7 (High)

Autentizovanému vzdálenému útočníkovi s oprávněním typu Administrator či Resource Administrator [3] je přes iControl REST ve všech modulech BIG-IP běžících v módu Appliance v Advanced Shell (bash) umožněno spouštět libovolné systémové příkazy a vytvářet/mazat soubory. Není-li možné aktualizovat na opravenou verzi ihned, lze riziko dočasně mitigovat omezením přístupu k rozhraní iControl REST na důvěryhodné sítě a zařízení dle jednoho z postupů na [4].

Zranitelnost se nachází v produktu BIG-IP ve verzích ==17.1.1.

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Více informací:

Zranitelnost byla veřejně oznámena 5. 2. 2025.

F5 BIG-IP - XSS (CVE-2025-24320) CVSS 8.0 (High)

Autentizovanému vzdálenému útočníkovi je v utilitě Configuration ve všech modulech BIG-IP pomocí sociálního inženýrství umožněno vykonat útok stored XSS [5]. Tato zranitelnost je následkem nekompletní opravy zranitelnosti CVE-2024-31156 [6]. Není-li možné aktualizovat na opravenou verzi ihned, je pro mitigaci rizika doporučeno se z utility po použití odhlašovat a zavírat veškeré instance prohlížeče a používat oddělený prohlížeč pro správu BIG-IP a jiné účely [5].

Zranitelnost se nachází v produktu BIG-IP ve verzích (>=15.1.0 AND <=15.1.10) OR (>=16.1.0 AND <=16.1.5) OR (>=17.1.0 AND <=17.1.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 5. 2. 2025.

F5 BIG-IP - DoS (CVE-2025-21087) CVSS 7.5 (High)

Neautentizovanému vzdálenému útočníkovi je v BIG-IP (všechny moduly) umožněno vykonat útok DoS. Zranitelnost je zneužitelná, jsou-li na virtuálním serveru nakonfigurovány Client SSL nebo Server SSL profily nebo jsou-li na instanci aktivní podepisovací operace DNSSEC. Není-li možné aktualizovat na opravenou verzi ihned, je pro mitigaci rizika doporučeno konfigurovat systém v režimu vysoké dostupnosti (HA) [7].

Zranitelnost se nachází v produktu BIG-IP ve verzích (>=15.1.0 AND <=15.1.10) OR (>=16.1.0 AND <=16.1.5) OR (>=17.1.0 AND <=17.1.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

Zranitelnost byla veřejně oznámena 5. 2. 2025.

F5 BIG-IP - DoS (CVE-2025-20045) CVSS 7.5 (High)

Neautentizovanému vzdálenému útočníkovi je v BIG-IP (všechny moduly) umožněno vykonat útok DoS [8]. Zranitelnost je zneužitelná, jsou-li na virtuálním serveru typu Message Routing nakonfigurovány profil Application Layer Gateway (ALG) pro Session Initiation Protocol (SIP) s povoleným režimem Passthru Mode a profil SIP Router ALG. Není-li možné aktualizovat na opravenou verzi ihned, je pro mitigaci rizika doporučeno konfigurovat systém v režimu vysoké dostupnosti (HA) [8].

Zranitelnost se nachází v produktu BIG-IP ve verzích (>=15.1.0 AND <=15.1.10) OR (>=16.1.0 AND <=16.1.4) OR (>=17.1.0 AND <=17.1.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

Zranitelnost byla veřejně oznámena 5. 2. 2025.


Za CESNET-CERTS Michaela Ručková dne 11. 2. 2025.

CESNET CERTS Logo