• IT-Karriere:
  • Services:

Sicherheitslücke: Ungepatchte Big-IP-Netzwerkgeräte werden aktiv angegriffen

Eine schwerwiegende Sicherheitslücke in Big-IP-Boxen von F5 ermöglicht die Übernahme des Geräts und das Ausführen von Code aus der Ferne.

Artikel veröffentlicht am ,
Server-Rack (Symbolbild)
Server-Rack (Symbolbild) (Bild: Taylor Vick/Unsplash)

Nach der Shitrix genannten Sicherheitslücke in Citrix-Boxen wird eine ähnlich schwerwiegende Sicherheitslücke (CVE-2020-5902) in Big-IP-Netzwerkgeräten von F5 aktiv ausgenutzt. Mit ihr können Angreifer unter anderem die Big-IP-Administrationsoberfläche übernehmen und Code aus der Ferne ausführen, sofern diese über das Internet erreichbar ist.

Stellenmarkt
  1. IDS Imaging Development Systems GmbH, Obersulm
  2. DRÄXLMAIER Group, Garching

Die Geräte können als Traffic Shaper, Load Balancer, Firewalls oder Gateway eingesetzt werden und sind vor allem in Setups von großen Firmen weit verbreitet. Ein Update steht zwar seit Anfang Juli zur Verfügung, wurde jedoch auf vielen Geräten noch nicht eingespielt.

Der Sicherheitsforscher Rich Warren von der NCC-Gruppe konnte auf seinen Big-IP-Honeypots bereits mehrere Angriffe von verschiedenen IP-Adressen detektieren. Die Angreifer versuchen seit der Nacht vom 3. auf den 4. Juli 2020, die Geräte zu hacken und an die Administrator-Passwörter zu gelangen.

"Bisher haben wir gesehen, dass ein Angreifer verschiedene Dateien aus den Honeypots liest und Befehle über eine eingebaute .jsp-Datei ausführt. Damit waren sie in der Lage, die gehashten Admin-Passwörter, Einstellungen und so weiter auszulesen", sagte Warren dem Onlinemagazin ZDnet.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    3.-7. Mai 2021, online
Weitere IT-Trainings

Mit der Sicherheitslücke lassen sich jedoch auch "Dateien erstellen oder löschen, Dienste deaktivieren, Informationen abfangen, beliebige Systembefehle und Java-Code ausführen, das System vollständig kompromittieren und weitere Ziele wie das interne Netzwerk angreifen", erklärte Mikhail Klyuchnikov von der Sicherheitsfirma Positive Technologies, die die Sicherheitslücke entdeckt und gemeldet hatte, dem Onlinemagzin The Register.

Betroffen sind die Firmware-Versionen 11 bis 15 von Big-IP. Administratoren, die die gepatchten Versionen 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6 und 15.1.0.4 nicht eingespielt haben, sollten diese dringend aktualisieren und ihre Systeme auf Angriffe und Veränderungen untersuchen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 8,99€
  2. 3,39€

vvwolf 06. Jul 2020

So richtig gute Laune kommt da nicht auf, wenn es im Prinzip egal ist, ob man Shitrix...


Folgen Sie uns
       


Govecs Elmoto Loop - Test

Das Elmoto Loop von Govecs wiegt nur 59 Kilogramm, hat einen guten Elektromotor und fährt sich ganz anders als ein klassischer E-Roller.

Govecs Elmoto Loop - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /