참고 링크:
벤더 공식문서 링크 : https://support.f5.com/csp/article/K23605346
KISA 링크 : https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66689
CVE 링크 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-1388
개요:
공격자는 Management-IP 또는 Self-IP 로 접근이 가능한 경우
BIG-IP iControl REST 인증을 우회하여 이를 통해 BIG-IP 시스템에 액세스하여 임의 시스템 명령을 실행하거나 파일을 생성 또는 삭제하거나 서비스를 비활성화할 수 있습니다.(장비 제어)
조치방안:
취약 버젼에 해당하는 버젼은 Fix 된 버젼으로 업그레이드 하는 것을 권고 드립니다.
BIG-IP iControl REST vulnerability CVE-2022-1388
Fix 권고 버전은 15.1.5.1 이며, 해당 버전 업그레이드 가능 장비 대상은 아래와 같습니다.
- i2600, i2800, i4600, i4800, i5600, i5800, i7600, i7800, i10600, i10800
그 외 대상 장비와 업그레이드가 어려운 환경에서는 완화 조치만 가능합니다.
그 외 대상 장비
- 2000, 4000, 5000, 7000, 10000
또한, 이러한 iControl REST 취약점들이 앞으로도 다른 유형으로 나올 가능성이 충분히 있기 때문에
그 때 마다 벤더에서 제공하는 취약점 FIX 된 OS로 업그레이드 조치를 하는 것은
업무적인 리스크가 동반 될 것으로도 예상됩니다.
해당 문제에 대한 선 조치로, 환경 상 외부에서 F5 장비로 접근 하는 경로에 방화벽과 같은 보안 장비가 있다면,
F5 장비의 Management IP 또는 Self-IP 로 허가되지 않은 접근에 대해 보안 정책으로 제한을 두는 것을 권장합니다.
만약, 환경 상 앞 단에 방화벽도 없고, OS 업그레이드가 어려운 환경이라면 아래와 같은 조치로 개선이 가능합니다.
- BIG-IP httpd 설정 변경을 통한 조치
구체적인 조치 방법은 https://support.f5.com/csp/article/K23605346 의 아래 2가지 내용을 참고하시기 바랍니다.
1. BIG-IP 14.1.0 and later
2. BIG-IP 14.0.0 and earlier