PresseBox
Pressemitteilung BoxID: 433866 (cirosec GmbH)
  • cirosec GmbH
  • Edisonstraße 21
  • 74076 Heilbronn
  • https://www.cirosec.de
  • Ansprechpartner
  • Daniela Strobel
  • +49 (7131) 59455-60

Cross-Site-Scripting-Schwachstelle in F5 BIG-IP Application Security Manager

(PresseBox) (Heilbronn, ) cirosec, der Spezialist im IT-Sicherheitsbereich, warnt vor einer Schwachstelle in der Web Application Firewall "BIG-IP Application Security Manager" von F5.

Berater der cirosec GmbH haben im Mai 2011 im Rahmen ihrer Research-Tätigkeit eine Cross-Site-Scripting-Schwachstelle im F5 BIG-IP Application Security Manager gefunden und an F5 gemeldet.

Die Web Application Firewall (WAF) von F5 soll eigentlich verhindern, dass Schwachstellen in Web-Applikationen ausgenutzt werden können. Im vorliegenden Fall wird jedoch eine sichere Webseite durch die vorgeschaltete WAF verwundbar. Das Einbringen und Ausführen von bösartigem Code ist möglich und findet vor Verarbeitung der Web-Application-Firewall-Regeln statt. Betroffen von der Schwachstelle sind die Versionen 10.1.0 bis zur aktuellen Version 10.2.2. Ein Hotfix ist laut Hersteller in Arbeit.

Die Schwachstelle beruht auf einem Fehler im Web Scraping Detection Feature bei der Verarbeitung bestimmter Parameter. Sie ermöglicht es einem Angreifer, JavaScript-Code im Browser des Webseiten-Besuchers auszuführen. Dadurch können Login- oder Session-Informationen gestohlen, Tastatureingaben innerhalb des Browser mitgeschnitten oder gefälschte Inhalte in die Webseite eingebracht werden.

Ein detailliertes technisches Advisory findet sich nach Veröffentlichung des Hotfixes auf unserer Webseite unter https://www.cirosec.de/....

cirosec GmbH

Die cirosec GmbH ist ein spezialisierter Anbieter von Beratung, Dienstleistung und Lösungen im Bereich der IT-Sicherheit. Das cirosec-Team zeichnet sich dabei durch seine zahlreichen Experten aus, die als Buchautoren, Dozenten oder Referenten internationaler Kongresse bekannt sind und den Kunden individuell mit technischem und strategischem Sachverstand beraten. Darüber hinaus verfügen sie über langjährige Erfahrung in der Konzeption und Integration von Sicherheitsprodukten in komplexen Umgebungen. Neben den klassischen Themen wie Netzwerksicherheit und Intrusion Prevention beschäftigt sich das Unternehmen schwerpunktmäßig mit Themen wie Applikationssicherheit, Wireless Security, Sicherheit sensibler Daten, Incident Handling, IT-Forensik, Informationssicherheits- und Risiko-Management und Verwundbarkeits-Management. Weitere Schwerpunkte der Tätigkeit sind Sicherheitsanalysen, Audits und Penetrationstest von Systemumgebungen und Anwendungen sowie Incident Handling, forensische Analysen und Trainings.