[TLP:CLEAR] F5 BIG-IP opravuje 17 zranitelností ve svých produktech
F5 opravuje 17 zranitelností ve svých produktech [1]. Nejzávažnější zranitelnosti jsou uvedeny níže. Jednotlivé produkty a jejich opravené verze: BIG-IP (všechny moduly) - 17.1.2.1, 16.1.5.2, 15.1.10.6, Hotfix-BIGIP-16.1.5.2.0.7.5-ENG.iso, Hotfix-BIGIP-15.1.10.6.0.11.6-ENG.iso BIG-IP Next Central Manager - 20.3.0 BIG-IP Next SPK - 1.9.1, 1.7.7 BIG-IP Next CNF - 1.4.0 NGINX Plus - R33 P2, R32 P2 NGINX Open Source - 1.27.4, 1.26.3 Detailní informace o opravených verzích pro jednotlivé zranitelnosti lze nalézt v přehledné tabulce na [1].
Autentizovanému vzdálenému útočníkovi je zasíláním specifických dotazů přes iControl REST ve všech modulech BIG-IP umožněno spouštět libovolné systémové příkazy a vytvářet/mazat soubory. Zranitelnost lze obdobným způsobem zneužít také lokálně pomocí tmsh příkazu přes TMOS Shell. Není-li možné aktualizovat na opravenou verzi ihned, lze riziko dočasně mitigovat omezením přístupu k rozhraní iControl REST a příkazové řádce přes SSH na důvěryhodné sítě a zařízení dle jednoho z postupů na [2].
Zranitelnost se nachází v produktu BIG-IP ve verzích (>=15.1.0 AND <=15.1.10) OR (>=16.1.0 AND <=16.1.5) OR (>=17.1.0 AND <=17.1.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-20029 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 2. 2025.
Autentizovanému vzdálenému útočníkovi s oprávněním typu Administrator či Resource Administrator [3] je přes iControl REST ve všech modulech BIG-IP běžících v módu Appliance v Advanced Shell (bash) umožněno spouštět libovolné systémové příkazy a vytvářet/mazat soubory. Není-li možné aktualizovat na opravenou verzi ihned, lze riziko dočasně mitigovat omezením přístupu k rozhraní iControl REST na důvěryhodné sítě a zařízení dle jednoho z postupů na [4].
Zranitelnost se nachází v produktu BIG-IP ve verzích ==17.1.1.
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N
Více informací:
- CVE-2025-23239 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 2. 2025.
Autentizovanému vzdálenému útočníkovi je v utilitě Configuration ve všech modulech BIG-IP pomocí sociálního inženýrství umožněno vykonat útok stored XSS [5]. Tato zranitelnost je následkem nekompletní opravy zranitelnosti CVE-2024-31156 [6]. Není-li možné aktualizovat na opravenou verzi ihned, je pro mitigaci rizika doporučeno se z utility po použití odhlašovat a zavírat veškeré instance prohlížeče a používat oddělený prohlížeč pro správu BIG-IP a jiné účely [5].
Zranitelnost se nachází v produktu BIG-IP ve verzích (>=15.1.0 AND <=15.1.10) OR (>=16.1.0 AND <=16.1.5) OR (>=17.1.0 AND <=17.1.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-24320 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 2. 2025.
Neautentizovanému vzdálenému útočníkovi je v BIG-IP (všechny moduly) umožněno vykonat útok DoS. Zranitelnost je zneužitelná, jsou-li na virtuálním serveru nakonfigurovány Client SSL nebo Server SSL profily nebo jsou-li na instanci aktivní podepisovací operace DNSSEC. Není-li možné aktualizovat na opravenou verzi ihned, je pro mitigaci rizika doporučeno konfigurovat systém v režimu vysoké dostupnosti (HA) [7].
Zranitelnost se nachází v produktu BIG-IP ve verzích (>=15.1.0 AND <=15.1.10) OR (>=16.1.0 AND <=16.1.5) OR (>=17.1.0 AND <=17.1.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-21087 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 2. 2025.
Neautentizovanému vzdálenému útočníkovi je v BIG-IP (všechny moduly) umožněno vykonat útok DoS [8]. Zranitelnost je zneužitelná, jsou-li na virtuálním serveru typu Message Routing nakonfigurovány profil Application Layer Gateway (ALG) pro Session Initiation Protocol (SIP) s povoleným režimem Passthru Mode a profil SIP Router ALG. Není-li možné aktualizovat na opravenou verzi ihned, je pro mitigaci rizika doporučeno konfigurovat systém v režimu vysoké dostupnosti (HA) [8].
Zranitelnost se nachází v produktu BIG-IP ve verzích (>=15.1.0 AND <=15.1.10) OR (>=16.1.0 AND <=16.1.4) OR (>=17.1.0 AND <=17.1.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-20045 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-476: NULL Pointer Dereference at cwe.mitre.org
Zranitelnost byla veřejně oznámena 5. 2. 2025.
Odkazy
- [1] https://my.f5.com/manage/s/article/K000149540
- [2] https://my.f5.com/manage/s/article/K000148587
- [3] https://techdocs.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/bigip-user-account-administration-11-6-0/3.html
- [4] https://my.f5.com/manage/s/article/K000138757
- [5] https://my.f5.com/manage/s/article/K000140578
- [6] https://my.f5.com/manage/s/article/K000138636
- [7] https://my.f5.com/manage/s/article/K000134888
- [8] https://my.f5.com/manage/s/article/K000138932
Za CESNET-CERTS Michaela Ručková dne 11. 2. 2025.
