Brukere av Big-IP-produktene til F5 bør snarest installere en sikkerhetsoppdatering som selskapet kom med i forrige uke. Oppdateringen fjerner en svært alvorlig sårbarhet (CVE-2022-1388) som gjør det mulig for angripere å fjernutføre kommandoer med root-privilegier. Sårbarheten skyldes oppsiktsvekkende feil (se tvitringen nedenfor) i autentiseringsfunksjonen til iControl REST, et webbasert programmeringsgrensnitt for konfigurasjon og administrasjon av enhetene.
Big-IP er en serie med fysiske enheter som brukes til en rekke forskjellige oppgaver, inkludert lastbalansering, kryptering, DNS og brannmur.
Varsler i politiets IT-enhet må gå på dagen
Skal ikke være eksponert på internett
Nettstedet Ars Technica viser til flere rapporter om faktiske angrep. Der oppgis det også at det finnes mer enn 16.000 slike enheter som er direkte eksponert på internett. Men det er slik at det kun er det administrative grensesnittet ( Control Plane) som er berørt av sårbarheten, og dette skal aldri være eksponert mot internett.
– Vi er i nær kontakt med våre kunder i Norge. De opplever sårbarheten som alvorlig, men uten konsekvenser for sine applikasjoner og tjenester. F5 BIG-IP benyttes foran mange samfunnskritiske tjenester i Norge, og håndteres således av svært profesjonelle IT-miljøer som er svært nøye med å sikre sine administrasjons tilganger, opplyser Jon Bjørnland, storkundeansvarlig for F5 i Norge, i en e-post til Digi.no.
Ifølge F5 er det mulig for dyktige angripere å fjerne alle spor etter en inntrengning.
– Det er umulig å bevise at en enhet ikke er kompromittert. Dersom du er usikker, anse enheten for å være kompromitter, er rådet fra selskapet.
Det skal være mulig å sjekke om Big-IP-enheten er berørt av sårbarheten ved å kjøre et skript som er oppgitt på denne siden.
11. mai 2022: Saken er oppdatert med at det kun er det administrative grensesnittet som er sårbart og en uttalelse fra F5 i Norge.
Sjokklekkasje av 15.000 brannmurer: – Krise!
