F5 링크 : https://my.f5.com/manage/s/article/K000138353
보안 권고 설명
2024년 2월 14일, F5는 다음과 같은 보안 문제를 발표했습니다. 이 문서는 F5 장치에 대한 영향을 파악하는 데 도움이 되는 이러한 취약성 및 보안 노출에 대한 개요를 제공하기 위한 것입니다. 각 이슈에 대한 자세한 내용은 관련 기사에서 확인하실 수 있습니다.
HIGH CVEs
CVE | CVSS 점수 | 영향을 받는 제품 | 영향을 받는 버전1 | 도임된 수정 사항 |
8.7 | BIG-IP(모든 모듈) | 17.1.0 | 17.1.1 | |
K000134516: BIG-IP SSL 클라이언트 인증서 LDAP 및 CRLDP 인증 프로파일 취약성 CVE-2024-23979 | 7.5 | BIG-IP(모든 모듈) | 17.1.0 | 17.1.1 |
7.5 | BIG-IP(고급 WAF/ASM) | 16.1.0 - 16.1.3 | 17.1.0 | |
7.5 | BIG-IP(PEM) | 17.1.0 - 17.1.12 | 없음2 | |
K000137270: BIG-IP Advanced WAF 및 BIG-IP ASM 및 취약성 CVE-2024-21789 | 7.5 | BIG-IP(고급 WAF/ASM) | 17.1.0 | 17.1.1 |
7.5 | BIG-IP(모든 모듈) | 17.1.0 | 17.1.1 | |
K000137334: F5 애플리케이션 가시성 및 보고 모듈 및 BIG-IP 고급 WAF/ASM 취약성 CVE-2024-23805 | 7.5 | 응용프로그램 가시성 및 보고 모듈 및 BIG-IP(Advanced WAF/ASM) | 17.1.0 | 17.1.1 |
K000137416: BIG-IP Advanced WAF 및 BIG-IP ASM 취약성 CVE-2024-23308 | 7.5 | BIG-IP(고급 WAF/ASM) | 17.1.0 | 17.1.1 |
7.5 | BIG-IP(AFM) | 17.1.0 | 17.1.1 | |
7.5 | BIG-IP(AFM + IPS) | 17.1.0 | 17.1.1 | |
7.5 | BIG-IP(모든 모듈) | 17.1.0 | 17.1.1 | |
빅-IP 넥스트 SPK | 1.5.0 - 1.8.0 | 1.8.1 | ||
7.5 | NGINX Plus | R31 | R31 P1 | |
NGINX 오픈 소스 | 1.25.3 | 1.25.4 | ||
7.5 | NGINX Plus | R30 - R31 | R31 P1 | |
NGINX 오픈 소스 | 1.25.0 - 1.25.3 | 1.25.4 | ||
7.2 | BIG-IP(모든 모듈) | 17.1.0 | 17.1.1 |
Midium CVEs
CVE | CVSS 점수 | 영향을 받는 제품 | 영향을 받는 버전1 | 에서 소개된 수정 사항 |
6.7 | BIG-IP(모든 모듈) | 17.1.0 | 17.1.1 | |
BIG-IQ 중앙 집중 관리자 | 8.0.0 - 8.3.0 | 8.3.0 + Hotfix-BIG-IQ-8.3.0.0.16.118-ENG2 | ||
6.2 | F5OS-A | 1.2.0 | 1.3.0 | |
F5OS-C | 1.3.0 - 1.5.1 | 1.6.0 | ||
6.0 | BIG-IP(모든 모듈) | 17.1.0 | 17.1.1 | |
5.5 | F5OS-A | 1.3.0 - 1.3.2 | 1.4.0 | |
F5OS-C | 1.3.0 - 1.5.1 | 1.6.0 | ||
4.4 | BIG-IP Next CNF | 1.1.0 - 1.1.1 | 1.2.0 |
Low CVEs
CVE | CVSS 점수 | 영향을 받는 제품 | 영향을 받는 버전1 | 에서 소개된 수정 사항 |
K000138047: BIG-IP Advanced WAF 및 BIG-IP ASM 구성 유틸리티 취약점 CVE-2024-23603 | 3.8 | BIG-IP(고급 WAF/ASM) | 17.1.0 | 17.1.1 |
CVE 요약 & WorkAround
| CVE | 취약점요약 | Solution | WorkAround | |
| CVE-2024-22093 | 관리자 또는 리소스 관리자 역할 권한과 BIG-IP 관리 포트 또는 자체 IP 주소를 통해 영향을 받는 iControl REST 엔드포인트에 대한 네트워크 액세스 권한이 있는 인증된 공격자는 임의의 시스템 명령을 실행하고 파일을 생성하거나 삭제할 수 있습니다. 이 취약점은 인증된 공격자가 임의의 Advanced Shell( bash ) 명령을 실행할 수 있도록 허용하여 BIG-IP 시스템에서 어플라이언스 모드 보안을 우회할 수 있게 해줍니다 . Data Plane은 영향이 없습니다. Control Plane에 해당합니다. https://my.f5.com/manage/s/article/K000137522 | BIG-IP (all Modules) | 유일한 완화 방법은 완전히 신뢰할 수 없는 사용자의 액세스를 제거하는 것입니다. 1. port lockdown : none 2. packet filter 를 통한 접속 제한 설정 **system>Platform>Security tap을 통한 접속 제한 설정의 경우 mgmt에만 해당 **기존 취약점으로 script 적용한 것은 이번 취약점을 막아주지 않음 | |
| CVE-2024-23979 | SSL 클라이언트 인증서 LDAP 또는 CRLDP(인증서 해지 목록 배포 지점) 인증 프로필이 가상 서버에 구성된 경우 공개되지 않은 요청으로 인해 CPU 리소스 사용률이 증가할 수 있습니다특정 profile 사용 SSL Client Certificate LDAP or Certificate Revocation List Distribution Point (CRLDP) authentication profile이 VS에 구성된 경우 | BIG-IP (all Modules) | iRule 적용(Link 참조) | |
| CVE-2024-21849 | Advance WAF/ASM 보안 정책 및 웹소켓 프로필이 가상 서버에 구성되면 공개되지 않은 트래픽으로 인해 TMM(Traffic Management Microkernel) 프로세스가 종료될 수 있습니다. https://my.f5.com/manage/s/article/K000135873 | BIG-IP Advanced WAF/ASM | 장비 이중화 권고 | |
| CVE-2024-23982 | BIG-IP PEM 분류 프로필이 UDP 가상 서버에 구성되면 공개되지 않은 요청으로 인해 TMM(Traffic Management Microkernel)이 종료될 수 있습니다. 이 문제는 2022년 9월 8일부터 2023년 2월 16일 사이에 릴리스된 서명을 사용하는 분류 엔진에 영향을 미칩니다. TMM 프로세스가 다시 시작되는 동안 트래픽이 중단됩니다. 이 취약점으로 인해 인증되지 않은 원격 공격자가 BIG-IP 시스템에 서비스 거부(DoS)를 일으킬 수 있습니다. 제어 평면 노출은 없습니다. 이는 데이터 플레인 문제일 뿐입니다. https://my.f5.com/manage/s/article/K000135946 | PEM | classification signatures를 fix된 version으로 업데이트(.im 파일 업데이트) | |
| CVE-2024-21789 | BIG-IP Advanced WAF/ASM 보안 정책이 가상 서버에 구성되면 공개되지 않은 요청으로 인해 메모리 리소스 활용도가 증가할 수 있습니다. bd 프로세스를 강제로 다시 시작하거나 수동으로 다시 시작할 때 까지 시스템 성능이 저하될 수 있습니다 . 이 취약점으로 인해 인증되지 않은 원격 공격자가 BIG-IP 시스템에서 서비스 거부(DoS)를 일으킬 수 있는 서비스 저하를 일으킬 수 있습니다. 제어 평면 노출은 없습니다. 이는 데이터 플레인 문제일 뿐입니다. https://my.f5.com/manage/s/article/K000137270 | Advanced WAF/ASM | 장비 이중화 권고 | |
| CVE-2024-24775 | Virtual server가 VLAN 그룹과 함께 활성화되고 SNAT 수신기가 구성된 경우 공개되지 않은 트래픽으로 인해 TMM(Traffic Management Microkernel)이 종료될 수 있습니다. TMM 프로세스가 다시 시작되는 동안 트래픽이 중단됩니다. 이 취약점으로 인해 인증되지 않은 원격 공격자가 BIG-IP 시스템에 서비스 거부(DoS)를 일으킬 수 있습니다. 제어 평면 노출은 없습니다. 이는 데이터 플레인 문제일 뿐입니다. | Advanced WAF/ASM | 장비 이중화 권고 | |
| CVE-2024-23805 | 공개되지 않은 요청으로 인해 TMM(Traffic Management Microkernel)이 종료될 수 있습니다. 애플리케이션 가시성 및 보고 모듈의 경우 수집된 엔터티 에서 URL이 활성화된 HTTP 분석 프로필이 가상 서버에 구성되고 DB 변수 avr.IncludeServerInURI 또는 avr.CollectOnlyHostnameFromURI 가 활성화되면 이 문제가 발생할 수 있습니다. BIG-IP Advanced WAF 및 ASM의 경우 DoS 또는 Bot Defense 프로필이 가상 서버에 구성되어 있고 DB 변수 avr.IncludeServerInURI 또는 avr.CollectOnlyHostnameFromURI 가 활성화된 경우 이 문제가 발생할 수 있습니다. | AVR Advanced WAF/ASM | 장비 이중화 권고 | |
| CVE-2024-23308 | 요청 본문 처리 옵션이 포함된 BIG-IP Advanced WAF 또는 BIG-IP ASM 정책이 가상 서버에 연결된 경우 공개되지 않은 요청으로 인해 BD 프로세스가 종료될 수 있습니다. 이 조건은 "값 및 콘텐츠 서명 적용 및 위협 캠페인 탐지"를 사용하여 허용된 URL에 대한 헤더 기반 콘텐츠 프로필의 요청 본문 처리 옵션을 설정한 결과입니다. BD 프로세스가 다시 시작되는 동안 트래픽이 중단됩니다. 이 취약점으로 인해 인증되지 않은 원격 공격자가 BIG-IP 시스템에 서비스 거부(DoS)를 일으킬 수 있습니다. 제어 평면 노출은 없습니다. 이는 데이터 플레인 문제일 뿐입니다. https://my.f5.com/manage/s/article/K000137416 | Advanced WAF/ASM | 장비 이중화 권고 | |
| CVE-2024-23314 | BIG-IP 또는 BIG-IP Next SPK 시스템에 HTTP/2가 구성된 경우 공개되지 않은 응답으로 인해 TMM(Traffic Management Microkernel)이 종료될 수 있습니다. ( CVE-2024-23314 ) TMM 프로세스가 다시 시작되는 동안 트래픽이 중단됩니다. 이 취약점으로 인해 인증되지 않은 원격 공격자가 BIG-IP 시스템에 서비스 거부(DoS)를 일으킬 수 있습니다. 제어 평면 노출은 없습니다. 이는 데이터 플레인 문제일 뿐입니다. https://my.f5.com/manage/s/article/K000137675 | BIG-IP (all modules) | 장비 이중화 권고 | |
| CVE-2024-22389 | BIG-IP가 고가용성(HA)으로 배포되고 iControl REST API 토큰이 업데이트되면 변경 사항이 피어 장치에 동기화되지 않습니다. ( CVE-2024-22389 ) 이 취약점으로 인해 인증된 공격자가 피어 장치에서 삭제되거나 업데이트된 API 토큰이 만료될 때까지 사용할 수 있습니다. 데이터 플레인 노출이 없습니다. 이는 제어 플레인 문제일 뿐입니다. https://my.f5.com/manage/s/article/K32544615 | BIG-IP (all modules) | 유일한 완화 방법은 완전히 신뢰할 수 없는 사용자의 액세스를 제거하는 것입니다. 1. port lockdown : none 2. packet filter 를 통한 접속 제한 설정 **system>Platform>Security tap을 통한 접속 제한 설정의 경우 mgmt에만 해당 **기존 취약점으로 script 적용한 것은 이번 취약점을 막아주지 않음 |