Upozorňujeme na sadu závažných zranitelností postihující zařízení BIG-IP a BIG-IQ od společnosti F5 Networks. Tyto zranitelnosti umožňují vzdálené spuštění kódu bez nutnosti autentizace. Zranitelnosti jsou rozděleny do kategorií kritické, vysoké a střední. Jako kritické zranitelnosti jsou označeny CVE-2021-22986, CVE-2021-22987, CVE-2021-22991, CVE-2021-22992. Jako vysoké zranitelnosti jsou označeny CVE-2021-22988, CVE-2021-22989, CVE-2021-22993, CVE-2021-22994, CVE-2021-22995, CVE-2021-22996, CVE-2021-22997. Jako střední jsou označeny zranitelnosti CVE-2021-22990, CVE-2021-22998, CVE-2021-22999, CVE-2021-23000, CVE-2021-23001, CVE-2021-23002, CVE-2021-23003, CVE-2021-23004, CVE-2021-23005 a CVE-2021-23006.
Zranitelnosti se týkají produktu BIG-IP následujících verzí: 16.0.0 - 16.0.1, 15.1.0 - 15.1.2, 14.1.0 - 14.1.3, 13.1.0 - 13.1.3. 12.1.0 - 12.1.5 a 11.6.1 - 11.6.5. Opravy jsou součástí těchto verzí: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 a 11.6.5.3.
Dále se zranitelnosti týkají produktu BIG-IQ Centralized Management a to následujících verzí: 7.0.0, 7.1.0 a 6.0.0 - 6.1.0. Opravy jsou součástí těchto verzí: 8.0.0, 7.1.0.3 a 7.0.0.2.
V obou případech společnost F5 Networks důrazně doporučuje zranitelné verze aktualizovat na verzi, které obsahuje záplaty těchto zranitelností. V případech, kdy není možná okamžitá aktualizace těchto produktů, je doporučeno provést tato opatření:
U produktů BIG-IP a BIG-IQ Centralized Management zablokovat přístup na rozhraní iControl REST. Toto lze provést v konfiguraci Port Lockdown nastavením hodnoty Allow None pro každou vlastní IP adresu v systému. V případech, kdy je nutné mít otevřené jakékoliv porty, lze použít nastavení Allow Custom, čímž se zakáže přístup k rozhraní iControl REST. Další možností je zablokovat přístup na rozhraní iControl REST přes rozhraní sloužící pro správu zařízení. Přístup na toto rozhraní by měl být udělen pouze důvěryhodným uživatelům a aplikacím. Stejným způsobem je doporučováno zablokovat přístup ke konfiguračnímu nástroji (Configuration utility).
Více informací najdete na stránkách výrobce:
https://support.f5.com/csp/article/K02566623
https://support.f5.com/csp/article/K03009991
https://support.f5.com/csp/article/K18132488