Censys analysiert Schwachstelle in BIG-IP: 1.124 exponierte Instanzen und 437.204 betroffene Geräte

Erfolgreicher Cyberangriff ermöglicht Zugriff auf Root-Ebene

Kürzlich wurde eine hochgradige Sicherheitslücke entdeckt, die die iControl REST-Schnittstelle und die TMOS Shell (tmsh)-Komponenten des Systems BIG-IP von F5 betrifft. Bei erfolgreicher Ausnutzung der Schwachstelle können authentifizierte Angreifer beliebige Systembefehle ausführen und so Zugriff auf die BIG-IP-Plattform auf Root-Ebene erlangen. Betroffen von der Sicherheitslücke sind die Versionen 17.1.0 bis 17.1.2, 16.1.0 bis 16.1.5 und 15.1.0 bis 15.1.10 von F5 BIG-IP aller Module.

Aktuell gibt es noch keine Hinweise auf eine aktive Ausnutzung der Sicherheitslücke. Ein öffentlich zugänglicher Proof of Concept (PoC) erhöht aber die Wahrscheinlichkeit, dass die Schwachstelle in Zukunft von Cyberangreifern ausgenutzt werden könnte. Der PoC demonstriert, wie ein Angreifer beliebige Systemfehler als root-Benutzer ausführen kann, wenn er sich mit einem Konto mit geringen Rechten – beispielsweise mit der Rolle Auditor – authentifiziert. Angreifer können die Schwachstelle mit Befehlen wie save ausnutzen, die sich dann mit erweiterten Rechten ausführen lassen. Dadurch kann der Angreifer Änderungen am System vornehmen.

Die Sicherheitslücke wurde vom Hersteller durch mehrere Versionen gepatcht. Zudem ist es empfehlenswert, dass Benutzer eine oder mehrere Gegenmaßnahmen implementieren, um den Zugriff auf die iControl REST-Schnittstelle und die tmsh zu sichern. Dazu gehören beispielsweise das Blocken des iControl REST-Zugriffs über die Verwaltungsschnittstelle für vertrauenswürdige Benutzer, die Einschränkung des Zugriffs auf die BIG-IP-Befehlszeile über SSH, das Blockieren des SSH-Zugriffs über eigene IP-Adressen oder das Blocken des SSH-Zugriffs über die Verwaltungsschnittstelle.

Analyse von Censys

Mit der Censys Internet Plattform für Threat Hunting und Attack Surface Management sind 1.124 exponierte Instanzen des F5 BIG-IP Configuration Utility (ohne virtuelle Hosts) auffindbar. Es kann sein, dass nicht alle dieser Instanzen verwundbar sind, da keine Informationen über spezifische Versionen vorliegen. 30 % der beobachteten, möglicherweise betroffenen Instanzen befinden sich in den USA, auch in Europa befinden sich einige.

Insgesamt nutzen 437.204 Geräte BIG-IP für Load Balancing und andere modulare Dienste der BIG-IP-Plattform. Diese Geräte wurden anhand von Sitzungs-Cookies in den Antwort-Header, die auf die Nutzung von BIG-IP hinweisen, mit BIG-IP in Verbindung gebracht. Diese Geräte sind jedoch nicht zwangsläufig von der Schwachstelle betroffen, da BIG-IP auch häufig als Proxy zwischen Client und Server fungiert.

Mehr Informationen und eine Karte der exponierten Anwendungen finden Sie hier: https://censys.com/cve-2025-20029/.

Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys
Eugenia Kendrick
S Main Street 116
48104 Ann Arbor
+1-888-985-5547
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
D-56472 Nisterau
+49 (0) 26 61-91 26 0-0
www.sprengel-pr.com