Anzeige

Sicherheitsschwachstelle

Der Netzwerkausrüster F5 informierte auf seiner Homepage über insgesamt 29 Schwachstellen in seinen Produkten. 13 der veröffentlichten Sicherheitslücken werden entsprechend Common Vulnerability Scoring System (CVSS) mit einem Schweregrad von „hoch“ bewertet. Von besonderer Bedeutung ist hier die Schwachstelle mit der Nummer CVE-2021-23031, bei der ein Angreifer eine Privilegien-Eskalation herbeiführen kann.

Ist bei den betroffenen Produkten BIG-IP Advanced WAF (Web Application Firewall) und Application Security Manager (ASM) sowie Traffic Management User Interface (TMUI) der Appliance Mode aktiviert, muss die CVSS-Bewertung sogar auf „kritisch“ heraufgestuft werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte auf diesen Sachverhalt zeitnah über seinen Warn- und Informationsdienst hingewiesen.

Folgende Produkte und Serien aus dem F5-Portfolio sind von den schwerwiegenden Sicherheitslücken betroffen:

  • BIG IP,
  • BIG IQ
  • Advanced WAF,
  • iControl
  • TMUI
  • Traffic Management Microkernel (TMM).

Weiterhin wurden auch für andere Produkte Schwachstellen bekannt. Diese werden nach CVSS mit „mittel“ oder „gering“ bewertet. Für viele der genannten Schwachstellen hat F5 bereits Patches zur Verfügung gestellt. In ausgewählten Fällen kann außerdem ein Hotfix beim Hersteller angefordert werden. Für die ebenfalls betroffene Lösung BIG IQ, mit der BIG IP-Produkte zentral verwaltet werden können, ist noch kein Update verfügbar.

Produkte von F5 sind in zahlreichen Organisationen verschiedenster Branchen zu finden.
 

Bewertung

Aufgrund ihrer zentralen Bedeutung in IT-Umgebungen sind Netzwerkkomponenten – wie im vorliegenden Fall – grundsätzlich ein attraktives Ziel für Cyber-Angriffe. Es muss daher davon ausgegangen werden, dass sich Täter die veröffentlichten Schwachstellen kurzfristig zu Nutze machen werden.
 

Maßnahmen

Das BSI empfiehlt das kurzfristige Einspielen der von F5 bereitgestellten Patches. Sofern dies aus unterschiedlichen Gründen nicht möglich ist, sind die auf den Detailseiten zu den jeweiligen Schwachstellen aufgeführten Mitigationsmaßnahmen zu beachten. Beim Patchen sollten die Empfehlungen gemäß BSI-Grundschutz beachtet werden. Allgemeine Hinweise zur Absicherung und dem Aufbau von Firewalls stellt das BSI im Grundschutz-Kompendium bereit.

www.bsi.bund.de


Weitere Artikel

E-Rechnung

Elektronische Rechnungen kommen zunehmend besser an

Die elektronische Rechnung kommt in Deutschland immer schneller voran. Inzwischen versenden 4 von 10 Unternehmen (43 Prozent) E-Rechnungen. Vor einem Jahr lag der Anteil erst bei rund einem Drittel (3o Prozent), vor drei Jahren war es nur jedes Fünfte (19…
Social Media

Social Media: Nur eine Minderheit folgt Politiker-Accounts

Auf den Social-Media-Accounts von einiger Politikerinnen und Politikern werden sich demnächst wohl direkte Eindrücke aus Sondierungsrunden oder Koalitionsverhandlungen im Bund und einigen Ländern finden. Doch die große Mehrheit der Bürgerinnen und Bürger…
Akquisition

Dynatrace übernimmt SpectX

Das Software-Intelligence-Unternehmen Dynatrace hat die Übernahme des High-Speed-Parsing- und Query-Analytics-Unternehmens SpectX abgeschlossen und bettet künftig die SpectX-Technologie in die eigene Software-Intelligence-Plattform mit ein.
Online-Beratung

Online-Beratung bei Finanzierungsanbietern mit Schwächen

Die Möglichkeiten der Online-Beratung werden von den Finanzierungsanbietern nicht ausgeschöpft. Statt auf individuelle Bedürfnisse der Immobilienkäufer einzugehen, setzen die Baufinanzierer vornehmlich auf Terminvereinbarungen und eine Konditionsermittlung…
it-sa 2021

it-sa 2021 vom 12. bis 14. Oktober in Nürnberg

Auf 52,5 Mrd. Euro schätzt das Institut der deutschen Wirtschaft die finanziellen Schäden, die im letzten Jahr durch Hackerangriffe auf Mitarbeiter im Homeoffice entstanden. Als Fachmesse für IT-Sicherheit widmet sich die it-sa vom 12. bis 14. Oktober der…
Videocall

Ärger um Vergabe von Videosystem geht in nächste Runde

Im juristischen Streit über die Vergabe eines Auftrags für ein landesweites Videokonferenzsystems an Hessens Schulen wehrt sich das Land gegen eine Entscheidung der Vergabekammer. Nach den Worten eines Sprechers des Kultusministeriums in Wiesbaden wurde…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.