ГлавнаяБаза уязвимостей БДУ → BDU:2022-02849
10критическая

BDU:2022-02849

Уязвимость интерфейса iControl REST API средств защиты приложений BIG-IP, позволяющая нарушителю выполнять произвольные команды, изменять или удалять файлы
Опубликовано: 2022-05-11
Описание

Уязвимость интерфейса iControl REST API средств защиты приложений BIG-IP связана с отсутствием проверки подлинности для критически важной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды, изменять или удалять файлы

Затрагиваемое ПО и версии
BIG-IP Access Policy Manager (от 11.6.1 до 11.6.5 включительно)BIG-IP Access Policy Manager (от 12.1.0 до 12.1.6 включительно)BIG-IP Access Policy Manager (от 16.1.0 до 16.1.2.2)BIG-IP Access Policy Manager (от 15.1.0 до 15.1.5.1)BIG-IP Access Policy Manager (от 14.1.0 до 14.1.4.6)BIG-IP Access Policy Manager (от 13.1.0 до 13.1.5)BIG-IP Advanced Firewall Manager (от 11.6.1 до 11.6.5 включительно)BIG-IP Advanced Firewall Manager (от 12.1.0 до 12.1.6 включительно)BIG-IP Advanced Firewall Manager (от 13.1.0 до 13.1.5)BIG-IP Advanced Firewall Manager (от 14.1.0 до 14.1.4.6)BIG-IP Advanced Firewall Manager (от 15.1.0 до 15.1.5.1)BIG-IP Advanced Firewall Manager (от 16.1.0 до 16.1.2.2)BIG-IP Analytics (от 11.6.1 до 11.6.5 включительно)BIG-IP Analytics (от 12.1.0 до 12.1.6 включительно)BIG-IP Analytics (от 13.1.0 до 13.1.5)BIG-IP Analytics (от 14.1.0 до 14.1.4.6)BIG-IP Analytics (от 15.1.0 до 15.1.5.1)BIG-IP Analytics (от 16.1.0 до 16.1.2.2)BIG-IP Application Acceleration Manager (от 11.6.1 до 11.6.5 включительно)BIG-IP Application Acceleration Manager (от 12.1.0 до 12.1.6 включительно)BIG-IP Application Acceleration Manager (от 13.1.0 до 13.1.5)BIG-IP Application Acceleration Manager (от 14.1.0 до 14.1.4.6)BIG-IP Application Acceleration Manager (от 15.1.0 до 15.1.5.1)BIG-IP Application Acceleration Manager (от 16.1.0 до 16.1.2.2)BIG-IP Application Security Manager (от 11.6.1 до 11.6.5 включительно)BIG-IP Application Security Manager (от 12.1.0 до 12.1.6 включительно)BIG-IP Application Security Manager (от 13.1.0 до 13.1.5)BIG-IP Application Security Manager (от 14.1.0 до 14.1.4.6)BIG-IP Application Security Manager (от 15.1.0 до 15.1.5.1)BIG-IP Application Security Manager (от 16.1.0 до 16.1.2.2)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- блокирование доступа к iControl REST через собственный IP-адрес;
- изменение TCP-портов 443 и 8443, используемых по умолчанию;
- блокирование доступа к iControl REST через интерфейс управления;
- изменение конфигурации BIG-IP httpd
Войти в оболочку TMOS ( tmsh ) системы BIG-IP, введя следующую команду:
tmsh

Открыть конфигурацию httpd для редактирования, введя следующую команду:
edit /sys httpd all-properties

Найти строку, начинающуюся с include none , и замените none следующим текстом:
Примечание . Если текущий оператор включения уже содержит конфигурацию, отличную от none, добавьте следующую конфигурацию в конец текущей конфигурации в пределах существующих символов двойных кавычек ( " ).

"<If \"%{HTTP:connection} =~ /close/i \">
RequestHeader set connection close
</If>
<ElseIf \"%{HTTP:connection} =~ /keep-alive/i \">
RequestHeader set connection keep-alive
</ElseIf>
<Else>
RequestHeader set connection close
</Else>"

После обновления оператора include использовать клавишу ESC, чтобы выйти из интерактивного режима редактора, затем сохраните изменения, введя следующую команду:
:wq

В ответ на приглашение Сохранить изменения (y/n/e) выбрать y , чтобы сохранить изменения.
Сохраните конфигурацию BIG-IP, введя следующую команду:
save /sys config

Источник информации:
https://support.f5.com/csp/article/K23605346

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://support.f5.com/csp/article/K23605346https://packetstormsecurity.com/files/167007/F5-BIG-IP-Remote-Code-Execution.htmlhttp://packetstormsecurity.com/files/167007/F5-BIG-IP-Remote-Code-Execution.htmlhttps://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена