CVE-2024-45844
취약점 공지 링크 : https://www.cve.org/CVERecord?id=CVE-2024-45844
F5 해당 취약점 관련 공식문서 링크 : https://my.f5.com/manage/s/article/K000140061
설명
BIG-IP 모니터 기능을 통해, 최소 Manager 역할 권한이 있는 인증된 공격자가 권한을 상승시키거나 Configuration을 수정할 수 있습니다. ( CVE-2024-45844 )
영향
이 취약점은 Manager 역할 권한 이상을 가진 인증된 공격자가 Configuration Utility( GUI )나 TMOS Shell( CLI )에 액세스하여 권한을 상승시키고 BIG-IP 시스템을 손상시킬 수 있습니다. Data Plane 노출은 없으며 Control Plane 문제일 뿐입니다.
권장조치
취약한 것으로 알려진 버전 열에 있는 버전을 사용 중인 경우 , Fixed 열에 나열된 버전을 설치하여 이 취약성을 제거할 수 있습니다 . 도입된 수정 사항 열에 Branch version이 나열되지 않은 경우, 해당 version에 대한 업데이트 후보가 현재 존재하지 않으며 F5는 Fixed 버전으로 업그레이드할 것을 권장합니다(표 참조).
완화
이 공격은 합법적이고 인증된 사용자에 의해 수행되므로 SSH를 통해 사용자가 구성 유틸리티나 명령줄에 액세스할 수 있도록 허용하는 실행 가능한 완화책은 없습니다. 유일한 완화책은 완전히 신뢰할 수 없는 사용자의 액세스를 제거하는 것입니다.
고정된 버전을 설치할 때까지 다음 섹션을 임시 완화책으로 사용할 수 있습니다. 이러한 완화책은 SSH를 통한 BIG-IP 구성 유틸리티 및 명령줄에 대한 액세스를 신뢰할 수 있는 네트워크 또는 장치로만 제한하여 공격 표면을 제한합니다.
SelfIP를 통한 GUI(TCP 443), CLI(TCP 22) 접근 차단
SelfIP에 대한 GUI, CLI에 대한 모든 액세스를 차단할 수 있습니다. 이를 위해 시스템의 각 SelfIP 주소에 대해 Port Lockdown 설정을 Allow none 으로 변경할 수 있습니다. 포트를 열어야 하는 경우 GUI와 CLI에 대한 액세스를 차단하는 데 주의하면서 Allow Custom 옵션을 사용해야 합니다. 기본적으로 GUI는 TCP 포트 443에서 수신 대기하고 CLI는 TCP 포트 22에서 수신 대기합니다. 기본 포트를 수정한 경우 구성한 대체 포트에 대한 액세스를 차단해야 합니다.
SelfIP 주소에서 포트 443 또는 포트 22를 노출해야 하고 특정 IP 범위에 대한 액세스를 제한하려는 경우 BIG-IP 시스템에 내장된 Packet Filter 기능을 사용하는 것을 고려할 수 있습니다.
Management Interface를 통한 GUI(TCP 443), CLI(TCP 22) 접근 차단
영향을 받는 F5 제품에 대한 이 취약성을 완화하려면 F5 제품에 대한 관리 액세스를 보안 네트워크를 통한 신뢰할 수 있는 사용자 및 장치로만 제한해야 합니다.