BSI: Kritische Schwachstellen in BIG-IP Produkten von F5

19. Mai 2022
| Keine Kommentare
B2B Cyber Security ShortNews

Beitrag teilen

Das BSI hat eine Sicherheitswarnung zu einer Schwachstellen in BIG-IP Produkten von F5 herausgegeben. Die Schwachstelle wird vom BSI als IT-Bedrohungslage 2, also Gelb eingestuft. Der CVSS-Wert allerdings mit 9,8 – Kritisch. Administratoren sollten die Systeme prüfen und Maßnahmen treffen.

Am 4. Mai 2022 veröffentlichte das Unternehmen F5 ein Security Advisory zu einer Schwachstelle, die es Angreifenden ermöglichen könnte, auf Lösungen aus der BIG-IP-Produktfamilie Befehle auszuführen, Dienste zu deaktivieren, Dateien anzulegen/zu löschen und somit letztendlich die Kontrolle über das Gerät zu  erlangen. Ausschlaggebend hierfür ist eine Schwachstelle in der Authentifizierung der iControl REST Schnittstelle (CVE-2022-1388). Die Schwachstelle wird nach Common Vulnerability Scoring System (CVSS) mit einem Wert von 9.8 als “kritisch” eingestuft (CVSSv3).

Schwachstelle in der BIG-IP-Produktfamilie

Betroffen sind Komponenten mit folgenden BIG-IP Versionen:

  • 16.1.0 – 16.1.2
  • 15.1.0 – 15.1.5
  • 14.1.0 – 14.1.4
  • 13.1.0 – 13.1.4
  • 12.1.0 – 12.1.6 (Ende des regulären Supports bereits erreicht.)
  • 11.6.1 – 11.6.5 (Ende des regulären Supports bereits erreicht.)

Laut BSI: Nach der Bekanntgabe des Sachverhalts durch den Hersteller häufen sich Berichte in IT-Portalen und Sozialen Medien, wonach eine Ausnutzung der Schwachstelle als besonders einfach eingeschätzt wird. Unter anderem haben Sicherheitsforschende des Unternehmens Horizon3.ai am 7. Mai 2022 angekündigt, in der aktuellen Kalenderwoche (KW 19) Proof-of-Concept-Code (PoC-Code) zur Schwachstelle zu veröffentlichen. Weitere Posts zum beschriebenen Sachverhalt lassen darauf schließen, dass auch von anderen Quellen zeitnah PoCs veröffentlicht werden bzw. bereits im Umlauf sind.

Mehr bei BSI.Bund.de

 

Über das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.

 

Passende Artikel zum Thema

Report: 40 Prozent mehr Phishing weltweit

Der aktuelle Spam- und Phishing-Report von Kaspersky für das Jahr 2023 spricht eine eindeutige Sprache: Nutzer in Deutschland sind nach ➡ Weiterlesen

BSI legt Mindeststandard für Webbrowser fest

Das BSI hat den Mindeststandard für Webbrowser für die Verwaltung überarbeitet und in der Version 3.0 veröffentlicht. Daran können sich ➡ Weiterlesen

Tarnkappen-Malware zielt auf europäische Unternehmen

Hacker greifen mit Tarnkappen-Malware viele Unternehmen in ganz Europa an. ESET Forscher haben einen dramatischen Anstieg von sogenannten AceCryptor-Angriffen via ➡ Weiterlesen

IT-Security: Grundlage für LockBit 4.0 entschärft

in Zusammenarbeit mit der britischen National Crime Agency (NCA) analysierte Trend Micro die in der Entwicklung befindliche und unveröffentlichte Version ➡ Weiterlesen

MDR und XDR via Google Workspace

Ob im Cafe, Flughafen-Terminal oder im Homeoffice – Mitarbeitende arbeiten an vielen Orten. Diese Entwicklung bringt aber auch Herausforderungen mit ➡ Weiterlesen

Test: Security-Software für Endpoints und Einzel-PCs

Die letzten Testergebnisse aus dem Labor von AV-TEST zeigen eine sehr gute Leistung von 16 etablierten Schutzlösungen für Windows an ➡ Weiterlesen

FBI: Internet Crime Report zählt 12,5 Milliarden Dollar Schaden 

Das Internet Crime Complaint Center (IC3) des FBI hat seinen Internet Crime Report 2023 veröffentlicht, der Informationen aus über 880.000 ➡ Weiterlesen

HeadCrab 2.0 entdeckt

Die seit 2021 aktive Kampagne HeadCrab gegen Redis-Server infiziert mit neuer Version weiterhin erfolgreich Ziele. Der Mini-Blog der Kriminellen im ➡ Weiterlesen

Short-News
, , , , ,