F5 링크:

https://support.f5.com/csp/article/K97843387?mkt_tok=NjUzLVNNQy03ODMAAAGIH-8BF9ejHkaNKFoyUZaOInhIhYO8mNxNvgDvocsBWYI120qOVIgDT_qmSadIOdozE-bYAbCtMOh9ebGGIOLilMN3cqPaJM6_4UqZ7kj2M6p2I8JXGg


KISA 링크:

https://knvd.krcert.or.kr/detailSecNo.do?IDX=5784 

보안 권고 설명

2022년 11월 16일 F5는 다음과 같은 이슈를 발표했습니다. 이 문서는 F5 장치에 미치는 영향을 확인하는 데 도움이 되는 이러한 문제에 대한 개요를 제공하기 위한 것입니다. 관련 문서에서 각 문제의 세부 정보를 찾을 수 있습니다.

분산 클라우드 및 관리 서비스

서비스상태
F5 분산 클라우드 서비스영향을 미치지 않거나 해결됨
실버라인영향을 미치지 않거나 해결됨
위협 스택영향을 미치지 않거나 해결됨

높은 CVE

기사(CVE)CVSS 점수영향을 받는 제품영향을 받는 버전 1에 도입된 수정 사항
K94221585: iControl SOAP 취약점 CVE-2022-416228.8BIG-IP(모든 모듈)17.0.0
16.1.0 - 16.1.3
15.1.0 - 15.1.8
14.1.0 - 14.1.5
13.1.0 - 13.1.5		없음
BIG-IQ 중앙 집중식 관리8.0.0 - 8.2.0
7.1.0		없음
K13325942: 어플라이언스 모드 iControl REST 취약성 CVE-2022-418008.7 - 어플라이언스 모드 전용BIG-IP(모든 모듈)17.0.0
16.1.0 - 16.1.3
15.1.0 - 15.1.8
14.1.0 - 14.1.5
13.1.0 - 13.1.5		없음

1 F5는 수명 주기의 EoTS(기술 지원 종료) 단계에 아직 도달하지 않은 소프트웨어 버전만 평가합니다.

개량

기사(개선 사항)영향을 받는 제품영향을 받는 버전 1에 도입된 수정 사항
K05403841: Rapid7에서 공개한 BIG-IP 및 BIG-IQ 개선 사항BIG-IP(모든 모듈)17.0.0
16.1.0 - 16.1.3
15.1.0 - 15.1.8
14.1.0 - 14.1.5
13.1.0 - 13.1.5		없음
BIG-IQ 중앙 집중식 관리8.0.0 - 8.2.0
7.1.0		없음

1 F5는 수명 주기의 EoTS(기술 지원 종료) 단계에 아직 도달하지 않은 소프트웨어 버전만 평가합니다.

1. F5 장비로의 접근이 외부로부터 노출 되어 있는지 확인이 필요 합니다.(아래 가이드 링크 참고)

https://tsc.openbase.co.kr/support/solutions/articles/72000569436


2. 첨부 된 2022년 11월 F5 보안취약점 New 리스트 정리_new.xlsx 문서를 참고 바랍니다.


  • CVE-2022-41622 : iControl SOAP vulnerability

    • resource administrator 의 권한을 가진 계정을 알고 있는 공격자가 iControl SOAP 인증을 사용하여 중요 작업 수행 가능하도록 권한 상승이 됩니다.

    • resource administrator 는 대부분의 권한을 가지지만 사용자 개체에 대한 권한은 없습니다.

    • 즉 resource administrator 권한과 administrator 권한의 차이는 사용자 개체에 대한 생성 수정 삭제 정도 입니다.

    • 해당 취약점으로 공격을 하려면 해당 사이트가 resource administrator 의 권한으로 운용 중인 계정이 있어야 하고, 외부에서 공격을 받을 수 있도록 방화벽을 통과해야 하며, 해당 공격자가  resource administrator 의 권한인 계정의 ID, PW를 알아서  iControl SOAP 인증을 사용 하여야 합니다.

    • [ 참고 ]  resource administrator 권한의 계정으로 로그인 시 GUI Users 화면

      이미지

      • 자기 자신 계정 이외의 계정에 대한 접근이 비활성화 되어 있음
      • Create 버튼 또한 비활성화 되어 있음



  • CVE-2022-41800 : Appliance mode iControl REST vulnerability

    • Appliance mode를 사용 중인 BIG-IP 에서 administrator 권한의 계정 ID, PW를 알고 있는 공격자가 iControl REST 를 사용하여, Bash에서 사용할 수 있는 명령들을 실행할 수 있습니다.

    • [ 참고 ] Appliance mode 사용 시 Bash 로 진입을 할 수 없게 막아둡니다.

    • [ 참고 2 ] Appliance mode가 사용 중인 지 확인 방법

      • GUI 에서 System → License 에 Active Modules 에 App Mode 가 있으면 Appliance mode 사용 중
      • GUI 에서 System → License 에 Optional Modules 에 App Mode 가 있으면 Appliance mode 사용 중이지 않음이미지