Podatność RCE bez uwierzytelnienia w F5 BIG-IP – łatajcie

Podatność uzyskała z jednej strony 10/10 w skali CVSSv3, z drugiej wymaga dostępu do ekranu logowania panelu zarządczego urządzenia (po https). Z trzeciej wygląda na prostą do wykorzystania:

By exploiting this vulnerability, a remote attacker with access to the BIG-IP configuration utility could, without authorization, perform remote code execution (RCE¹). The attacker can create or delete files, disable services, intercept information, run arbitrary system commands and Java code, completely compromise the system, and pursue further targets, such as the internal network. 

Jeśli ktoś poszuka exploita, w miarę łatwo go znajdzie, a aktywne wykorzystanie luki CVE-2020-5902 już się zaczęło. O tym zresztą w weekend ostrzegało wielu:

URGENT: Patching CVE-2020-5902 and 5903 should not be postponed over the weekend. Remediate immediately. https://t.co/UBKECuN7Vv

— USCYBERCOM Cybersecurity Alert (@CNMF_CyberAlert) July 3, 2020

–ms