BIG-IP Configuration Utility

Die Schwachstelle steckt im Konfigurationswerkzeug (Configuration Utility) von F5 BIG-IP, der webbasierten Verwaltungsoberfläche der Geräte. Es handelt sich um eine SQL-Injection: Über manipulierte Eingaben lassen sich eigene Datenbankbefehle in eine Abfrage einschleusen. Ausnutzen kann die Lücke ein Angreifer, der bereits angemeldet ist und das Verwaltungswerkzeug über den Management-Port oder über sogenannte Self-IP-Adressen des Geräts im Netz erreicht. Gelingt die Injektion, bleibt es nicht bei einem Datenbankzugriff: Der Angreifer kann darüber beliebige Systembefehle auf dem Gerät ausführen und so weit über die eigentlichen Rechte seines Kontos hinausgelangen. Betroffen sind die regulär unterstützten Software-Stände; Versionen, die das Ende des technischen Supports erreicht haben, wurden nicht bewertet. Da BIG-IP zentrale Aufgaben wie Lastverteilung und Zugriffssteuerung übernimmt, ist eine Befehlsausführung auf einem solchen Gerät besonders folgenreich.