F5 링크 : https://my.f5.com/manage/s/article/K000138353 



보안 권고 설명

2024년 2월 14일, F5는 다음과 같은 보안 문제를 발표했습니다. 이 문서는 F5 장치에 대한 영향을 파악하는 데 도움이 되는 이러한 취약성 및 보안 노출에 대한 개요를 제공하기 위한 것입니다. 각 이슈에 대한 자세한 내용은 관련 기사에서 확인하실 수 있습니다. 




HIGH CVEs

CVE

CVSS 

점수

영향을 받는 제품

영향을 받는 버전1

도임된 수정 사항

K000137522 : BIG-IP iControl REST 취약성 CVE-2024-22093

8.7

BIG-IP(모든 모듈)

17.1.0
16.1.0 - 16.1.3
15.1.0 - 15.1.8

17.1.1
16.1.4
15.1.9

K000134516: BIG-IP SSL 클라이언트 인증서 LDAP 및 CRLDP 인증 프로파일 취약성 CVE-2024-23979

7.5

BIG-IP(모든 모듈)

17.1.0
16.1.0 - 16.1.3
15.1.0 - 15.1.8

17.1.1
16.1.4
15.1.9

K00013573 : BIG-IP 웹소켓 취약점 CVE-2024-21849

7.5

BIG-IP(고급 WAF/ASM)

16.1.0 - 16.1.3

17.1.0
16.1.4

K000135946 : BIG-IP PEM 취약성 CVE-2024-23982

7.5

BIG-IP(PEM)

17.1.0 - 17.1.12
16.1.0 - 16.1.42
15.1.0 - 15.1.102

없음2

K000137270: BIG-IP Advanced WAF 및 BIG-IP ASM 및 취약성 CVE-2024-21789

7.5

BIG-IP(고급 WAF/ASM)

17.1.0

17.1.1

K000137333 : BIG-IP TMM 취약성 CVE-2024-24775

7.5

BIG-IP(모든 모듈)

17.1.0
16.1.0 - 16.1.3
15.1.0 - 15.1.9

17.1.1
16.1.4
15.1.10

K000137334: F5 애플리케이션 가시성 및 보고 모듈 및 BIG-IP 고급 WAF/ASM 취약성 CVE-2024-23805

7.5

응용프로그램 가시성 및 보고 모듈 및 BIG-IP(Advanced WAF/ASM)

17.1.0
16.1.0 - 16.1.3
15.1.0 - 15.1.9

17.1.1
16.1.4
15.1.10

K000137416: BIG-IP Advanced WAF 및 BIG-IP ASM 취약성 CVE-2024-23308

7.5

BIG-IP(고급 WAF/ASM)

17.1.0

17.1.1

K000137521 : BIG-IP AFM 취약성 CVE-2024-21763

7.5

BIG-IP(AFM)

17.1.0
16.1.0 - 16.1.3
15.1.0 - 15.1.9

17.1.1
16.1.4
15.1.10

K000137595 : BIG-IP AFM 시그니처 매칭 취약성 CVE-2024-21771

7.5

BIG-IP(AFM + IPS)

17.1.0
16.1.0 - 16.1.3
15.1.0 - 15.1.8

17.1.1
16.1.4
15.1.9

K000137675 : BIG-IP HTTP/2 취약성 CVE-2024-23314

7.5

BIG-IP(모든 모듈)

17.1.0
16.1.0 - 16.1.3
15.1.0 - 15.1.8

17.1.1
16.1.4 15.1.9

빅-IP 넥스트 SPK

1.5.0 - 1.8.0

1.8.1

K000138444: NGINX HTTP/3 QUIC 취약성 CVE-2024-24989

7.5

NGINX Plus

R31

R31 P1

NGINX 오픈 소스

1.25.3

1.25.4

K000138445 : NGINX HTTP/3 QUIC 취약성 CVE-2024-24990

7.5

NGINX Plus

R30 - R31

R31 P1
 R30 P2

NGINX 오픈 소스

1.25.0 - 1.25.3

1.25.4

K32544615: BIG-IP iControl REST API 취약성 CVE-2024-22389

7.2

BIG-IP(모든 모듈)

17.1.0
16.1.0 - 16.1.3
15.1.0 - 15.1.8

17.1.1
16.1.4
15.1.9




Midium CVEs

CVE

CVSS 

점수

영향을 받는 제품

영향을 받는 버전1

에서 소개된 수정 사항

K98606833 : BIG-IP 및 BIG-IQ scp 취약성 CVE-2024-21782

6.7

BIG-IP(모든 모듈)

17.1.0
16.1.0 - 16.1.3
15.1.0 - 15.1.8

17.1.1
16.1.4
15.1.9

BIG-IQ 중앙 집중 관리자

8.0.0 - 8.3.0

8.3.0 + Hotfix-BIG-IQ-8.3.0.0.16.118-ENG2

K000133111 : F5OS 취약점 CVE-2024-24966

6.2

F5OS-A

1.2.0

1.3.0

F5OS-C

1.3.0 - 1.5.1

1.6.0

K91054692 : BIG-IP 어플라이언스 모드 iAppsLX 취약성 CVE-2024-23976

6.0

BIG-IP(모든 모듈)

17.1.0
16.1.0 - 16.1.3
15.1.0 - 15.1.8

17.1.1
16.1.4
15.1.9

K000132800: F5OS QKView 유틸리티 취약성 CVE-2024-23607

5.5

F5OS-A

1.3.0 - 1.3.2

1.4.0

F5OS-C

1.3.0 - 1.5.1

1.6.0

K000137886 : BIG-IP Next CNF 취약성 CVE-2024-23306

4.4

BIG-IP Next CNF

1.1.0 - 1.1.1

1.2.0


Low CVEs

  

CVE

CVSS

 점수

영향을 받는 제품

영향을 받는 버전1

에서 소개된 수정 사항

K000138047: BIG-IP Advanced WAF 및 BIG-IP ASM 구성 유틸리티 취약점 CVE-2024-23603

3.8

BIG-IP(고급 WAF/ASM)

17.1.0
16.1.0 - 16.1.3
15.1.0 - 15.1.9

17.1.1
16.1.4
15.1.10


CVE 요약 & WorkAround

CVE취약점요약
Solution
WorkAround
CVE-2024-22093

관리자 또는 리소스 관리자 역할 권한과 BIG-IP 관리 포트 또는 자체 IP 주소를 통해 영향을 받는 iControl REST 엔드포인트에 대한 네트워크 액세스 권한이 있는 인증된 공격자는 임의의 시스템 명령을 실행하고 파일을 생성하거나 삭제할 수 있습니다. 

이 취약점은 인증된 공격자가 임의의 Advanced Shell( bash ) 명령을 실행할 수 있도록 허용하여 BIG-IP 시스템에서 어플라이언스 모드 보안을 우회할 수 있게 해줍니다 . 

Data Plane은 영향이 없습니다. Control Plane에 해당합니다.


https://my.f5.com/manage/s/article/K000137522
BIG-IP
(all Modules)

유일한 완화 방법은 완전히 신뢰할 수 없는 사용자의 액세스를 제거하는 것입니다.

1. port lockdown : none

2. packet filter 를 통한 접속 제한 설정


**system>Platform>Security tap을 통한 접속 제한 설정의 경우 mgmt에만 해당

**기존 취약점으로 script 적용한 것은 이번 취약점을 막아주지 않음


CVE-2024-23979

SSL 클라이언트 인증서 LDAP 또는 CRLDP(인증서 해지 목록 배포 지점) 인증 프로필이 가상 서버에 구성된 경우 공개되지 않은 요청으로 인해 CPU 리소스 사용률이 증가할 수 있습니다특정 profile 사용

SSL Client Certificate LDAP or Certificate Revocation List Distribution Point (CRLDP) authentication profile이 VS에 구성된 경우


https://my.f5.com/manage/s/article/K000134516

BIG-IP
(all Modules)
iRule 적용(Link 참조)

CVE-2024-21849
Advance WAF/ASM 보안 정책 및 웹소켓 프로필이 가상 서버에 구성되면 공개되지 않은 트래픽으로 인해 TMM(Traffic Management Microkernel) 프로세스가 종료될 수 있습니다.

https://my.f5.com/manage/s/article/K000135873
BIG-IP
Advanced WAF/ASM


장비 이중화 권고

CVE-2024-23982
BIG-IP PEM 분류 프로필이 UDP 가상 서버에 구성되면 공개되지 않은 요청으로 인해 TMM(Traffic Management Microkernel)이 종료될 수 있습니다. 이 문제는 2022년 9월 8일부터 2023년 2월 16일 사이에 릴리스된 서명을 사용하는 분류 엔진에 영향을 미칩니다. TMM 프로세스가 다시 시작되는 동안 트래픽이 중단됩니다. 이 취약점으로 인해 인증되지 않은 원격 공격자가 BIG-IP 시스템에 서비스 거부(DoS)를 일으킬 수 있습니다. 제어 평면 노출은 없습니다. 이는 데이터 플레인 문제일 뿐입니다.

https://my.f5.com/manage/s/article/K000135946
PEMclassification signatures를 fix된 version으로 업데이트(.im 파일 업데이트)
CVE-2024-21789
BIG-IP Advanced WAF/ASM 보안 정책이 가상 서버에 구성되면 공개되지 않은 요청으로 인해 메모리 리소스 활용도가 증가할 수 있습니다. bd 프로세스를 강제로 다시 시작하거나 수동으로 다시 시작할 때 까지 시스템 성능이 저하될 수 있습니다 . 이 취약점으로 인해 인증되지 않은 원격 공격자가 BIG-IP 시스템에서 서비스 거부(DoS)를 일으킬 수 있는 서비스 저하를 일으킬 수 있습니다. 제어 평면 노출은 없습니다. 이는 데이터 플레인 문제일 뿐입니다.

https://my.f5.com/manage/s/article/K000137270
Advanced WAF/ASM

장비 이중화 권고
CVE-2024-24775
Virtual server가 VLAN 그룹과 함께 활성화되고 SNAT 수신기가 구성된 경우 공개되지 않은 트래픽으로 인해 TMM(Traffic Management Microkernel)이 종료될 수 있습니다.

TMM 프로세스가 다시 시작되는 동안 트래픽이 중단됩니다. 이 취약점으로 인해 인증되지 않은 원격 공격자가 BIG-IP 시스템에 서비스 거부(DoS)를 일으킬 수 있습니다. 제어 평면 노출은 없습니다. 이는 데이터 플레인 문제일 뿐입니다.


https://my.f5.com/manage/s/article/K000137333

Advanced WAF/ASM

장비 이중화 권고
CVE-2024-23805

공개되지 않은 요청으로 인해 TMM(Traffic Management Microkernel)이 종료될 수 있습니다. 애플리케이션 가시성 및 보고 모듈의 경우 수집된 엔터티 에서 URL이 활성화된 HTTP 분석 프로필이 가상 서버에 구성되고 DB 변수 avr.IncludeServerInURI 또는 avr.CollectOnlyHostnameFromURI 가 활성화되면 이 문제가 발생할 수 있습니다. BIG-IP Advanced WAF 및 ASM의 경우 DoS 또는 Bot Defense 프로필이 가상 서버에 구성되어 있고 DB 변수 avr.IncludeServerInURI 또는 avr.CollectOnlyHostnameFromURI 가 활성화된 경우 이 문제가 발생할 수 있습니다.


https://my.f5.com/manage/s/article/K000137334

AVR

Advanced WAF/ASM

장비 이중화 권고
CVE-2024-23308
요청 본문 처리 옵션이 포함된 BIG-IP Advanced WAF 또는 BIG-IP ASM 정책이 가상 서버에 연결된 경우 공개되지 않은 요청으로 인해 BD 프로세스가 종료될 수 있습니다. 이 조건은 "값 및 콘텐츠 서명 적용 및 위협 캠페인 탐지"를 사용하여 허용된 URL에 대한 헤더 기반 콘텐츠 프로필의 요청 본문 처리 옵션을 설정한 결과입니다. BD 프로세스가 다시 시작되는 동안 트래픽이 중단됩니다. 이 취약점으로 인해 인증되지 않은 원격 공격자가 BIG-IP 시스템에 서비스 거부(DoS)를 일으킬 수 있습니다. 제어 평면 노출은 없습니다. 이는 데이터 플레인 문제일 뿐입니다.

https://my.f5.com/manage/s/article/K000137416
Advanced WAF/ASM장비 이중화 권고
CVE-2024-23314
BIG-IP 또는 BIG-IP Next SPK 시스템에 HTTP/2가 구성된 경우 공개되지 않은 응답으로 인해 TMM(Traffic Management Microkernel)이 종료될 수 있습니다. ( CVE-2024-23314 ) TMM 프로세스가 다시 시작되는 동안 트래픽이 중단됩니다. 이 취약점으로 인해 인증되지 않은 원격 공격자가 BIG-IP 시스템에 서비스 거부(DoS)를 일으킬 수 있습니다. 제어 평면 노출은 없습니다. 이는 데이터 플레인 문제일 뿐입니다.

https://my.f5.com/manage/s/article/K000137675
BIG-IP
(all modules)

장비 이중화 권고

CVE-2024-22389
BIG-IP가 고가용성(HA)으로 배포되고 iControl REST API 토큰이 업데이트되면 변경 사항이 피어 장치에 동기화되지 않습니다. ( CVE-2024-22389 ) 이 취약점으로 인해 인증된 공격자가 피어 장치에서 삭제되거나 업데이트된 API 토큰이 만료될 때까지 사용할 수 있습니다. 데이터 플레인 노출이 없습니다. 이는 제어 플레인 문제일 뿐입니다.

https://my.f5.com/manage/s/article/K32544615
BIG-IP
(all modules)

유일한 완화 방법은 완전히 신뢰할 수 없는 사용자의 액세스를 제거하는 것입니다.

1. port lockdown : none

2. packet filter 를 통한 접속 제한 설정


**system>Platform>Security tap을 통한 접속 제한 설정의 경우 mgmt에만 해당

**기존 취약점으로 script 적용한 것은 이번 취약점을 막아주지 않음