F5 BIG-IP 11.0.0/11.1.0/11.2.0/11.2.1 Accelerator saveSettings.php defaultQuery SQL Injection
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.9 | $0-$5k | 0.14 |
Zusammenfassung
In F5 BIG-IP 11.0.0/11.1.0/11.2.0/11.2.1 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Es geht dabei um eine nicht klar definierte Funktion der Datei sam/admin/reports/php/saveSettings.php der Komponente Accelerator. Die Veränderung des Parameters defaultQuery resultiert in SQL Injection. Diese Schwachstelle wird als CVE-2012-3000 gehandelt. Der Angriff kann über das Netzwerk passieren. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Eine Schwachstelle wurde in F5 BIG-IP 11.0.0/11.1.0/11.2.0/11.2.1 (Firewall Software) entdeckt. Sie wurde als kritisch eingestuft. Davon betroffen ist unbekannter Code der Datei sam/admin/reports/php/saveSettings.php der Komponente Accelerator. Durch das Beeinflussen des Arguments defaultQuery mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-89. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Multiple SQL injection vulnerabilities in sam/admin/reports/php/saveSettings.php in the (1) APM WebGUI in F5 BIG-IP LTM, GTM, ASM, Link Controller, PSM, APM, Edge Gateway, and Analytics and (2) AVR WebGUI in WebAccelerator and WOM 11.2.x before 11.2.0-HF3 and 11.2.x before 11.2.1-HF3 allow remote authenticated users to execute arbitrary SQL commands via the defaultQuery parameter.Die Schwachstelle wurde am 22.01.2013 durch Stefan Viehböck von SEC Consult als 93 in Form eines bestätigten Mailinglist Posts (Bugtraq) herausgegeben. Bereitgestellt wird das Advisory unter seclists.org. Eine Veröffentlichung wurde in Zusammenarbeit mit F5 angestrebt. Die Verwundbarkeit wird seit dem 30.05.2012 mit der eindeutigen Identifikation CVE-2012-3000 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1505 aus.
Es wurde direkt nach dem Advisory ein Exploit veröffentlicht. Unter sec-consult.com wird der Exploit bereitgestellt. Er wird als proof-of-concept gehandelt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $5k-$25k. Durch die Suche von inurl:sam/admin/reports/php/saveSettings.php können potentiell verwundbare Systeme gefunden werden. Für den Vulnerability Scanner Nessus wurde am 10.10.2014 ein Plugin mit der ID 78141 (F5 Networks BIG-IP : SQL injection vulnerability from an authenticated source (SOL14154)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family F5 Networks Local Security Checks zugeordnet.
Ein Aktualisieren auf die Version 11.2.0 HF3 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle. F5 hat so vorgängig gehandelt.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (81457), Tenable (78141), SecurityFocus (BID 57500†), OSVDB (89446†) und Secunia (SA51867†) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-7446. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://f5.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.8VulDB Meta Temp Score: 7.9
VulDB Base Score: 8.8
VulDB Temp Score: 7.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 78141
Nessus Name: F5 Networks BIG-IP : SQL injection vulnerability from an authenticated source (SOL14154)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Upgrade: BIG-IP 11.2.0 HF3
Timeline
30.05.2012 🔍21.01.2013 🔍
22.01.2013 🔍
22.01.2013 🔍
22.01.2013 🔍
22.01.2013 🔍
22.01.2013 🔍
24.01.2013 🔍
25.06.2013 🔍
30.01.2014 🔍
10.10.2014 🔍
22.04.2021 🔍
Quellen
Hersteller: f5.comAdvisory: 93
Person: Stefan Viehböck
Firma: SEC Consult
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍
CVE: CVE-2012-3000 (🔍)
GCVE (CVE): GCVE-0-2012-3000
GCVE (VulDB): GCVE-100-7445
X-Force: 81457
SecurityFocus: 57500 - F5 BIG-IP CVE-2012-3000 SQL Injection Vulnerability
Secunia: 51867 - F5 Products "defaultQuery" SQL Injection Vulnerability, Less Critical
OSVDB: 89446
SecurityTracker: 1028025 - F5 BIG-IP Input Validation Flaws Lets Remote Users Inject SQL Commands and Download Files
Vulnerability Center: 40180 - F5 Big-IP Multiple Products Remote SQL Injection Vulnerability in WebGUI Component, Medium
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 24.01.2013 14:22Aktualisierung: 22.04.2021 13:18
Anpassungen: 24.01.2013 14:22 (87), 09.08.2017 14:07 (2), 22.04.2021 13:18 (2)
Komplett: 🔍
Editor: olku
Cache ID: 216:FB1:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.