zurück zum Artikel

Warten auf Patches: Gefährliche Lücken in BIG-IP Edge Client

Warten auf Patches: Gefährliche Lücken in BIG-IP Edge Client

(Bild: asharkyu/Shutterstock.com)

Die Windows-Version der Fernzugriffssoftware BIG-IP Edge Client ist über mehrere Sicherheitslücken attackierbar.

Setzen Angreifer erfolgreich an verschiedenen Sicherheitslücken in BIG-IP Edge Client an, könnten sie sich höhere Nutzerrechte erschleichen, Computer via DoS-Attacke abstürzen lassen oder sogar Schadcode ausführen.

Nach jetzigem Kenntnisstand sind noch keine Sicherheitsupdates verfügbar. Wenn die Patches kommen sollen, ist bislang unbekannt. Workarounds zum Absichern von Computern existieren derzeit nicht.

BIG-IP Edge Client gibt es für Computer-Betriebssysteme und mobile Geräte. Damit kann man über eine gesicherte, verschlüsselte VPN-Verbindung beispielsweise über das Internet auf Firmendaten zugreifen. Von den drei Schwachstellen sind ausschließlich Windows-Systeme betroffen.

Aufgrund eines Fehlers (CVE-2020-5897) in der ActiveX-Komponente von BIG-IP könnten Angreifer Speicherfehler (use-afer-free) auslösen, um so eigenen Code im Browser auszuführen. Damit das klappt, müsste ein Opfer eine von einem Angreifer präparierte Website besuchen, beschreibt F5 in einer Warnmeldung [1]. Dort kann man auch die betroffenen Versionen nachlesen. Das Angriffsrisiko gilt als "hoch".

Die zweite Lücke (CVE-2020-5896) findet sich im Installationsservice des Clients. Aufgrund von schwachen Ordnerberechtigungen könnten Angreifer signierte .exe- und MSI-Dateien ausführen. Das soll zu einer Rechteausweitung führen. Hier gilt der Bedrohungsgrad als "hoch".

Das Ausnutzen der dritten Schwachstelle (CVE-2020-5898) könnte zu einem Absturz des Windows-Kernel führen. Der Fehler liegt im Stonewall-Treiber. F5 hat das Angriffsrisiko als "mittel" eingestuft.

Liste nach Bedrohungsgrad absteigend sortiert:

(des [5])


URL dieses Artikels:
https://www.heise.de/-4721048

Links in diesem Artikel:
[1] https://support.f5.com/csp/article/K20346072
[2] https://support.f5.com/csp/article/K20346072
[3] https://support.f5.com/csp/article/K15478554
[4] https://support.f5.com/csp/article/K69154630
[5] mailto:des@heise.de