CVE-2022-1388
F5 BIG-IP
2022-05-10
F5 BIG-IP contains a missing authentication in critical function vulnerability which can allow for remote code execution, creation or deletion of files, or disabling services.
Технический анализ и план устранения
Суть уязвимости
Уязвимость (RCE) в REST API-эндпоинте /mgmt/tm/util/bash компонента iControl BIG-IP. Атакующий может отправить специально сформированный HTTP-запрос, обходящий проверку подлинности, что позволяет выполнить произвольные системные команды с правами root.
Как исправить
Установите фиксированную версию ПО, соответствующую вашему основному релизу BIG-IP. Патчи включены в следующие версии:
- BIG-IP 16.1.x: Обновитесь до версии 16.1.3.1 или новее.
- BIG-IP 15.1.x: Обновитесь до версии 15.1.5.1 или новее.
- BIG-IP 14.1.x: Обновитесь до версии 14.1.4.6 или новее.
- BIG-IP 13.1.x: Обновитесь до версии 13.1.5.1 или новее.
Процедура обновления (пример для загрузки через интерфейс):
1. Скачайте файл образа обновления (.iso) с портала поддержки F5.
2. В веб-интерфейсе администрирования BIG-IP перейдите в System > Software Management.
3. Нажмите Upload, выберите файл образа и загрузите его.
4. После загрузки выберите загруженный образ и нажмите Install.
5. После установки перезагрузите устройство.
Временное решение
Если немедленное обновление невозможно, заблокируйте доступ к уязвимому интерфейсу управления.
-
Ограничьте доступ к порту управления (по умолчанию TCP/443):
- Настройте правила на upstream-маршрутизаторе или фаерволе, разрешающие подключения к порту управления ТОЛЬКО с доверенных IP-адресов (административных узлов).
- Пример правила для
iptablesна самом BIG-IP (примените через SSH):bash # Разрешить только с доверенной сети 10.0.1.0/24 tmsh create security firewall rule-list mgmt-allow rules add { rule1 } rule1 { ip-protocol tcp destination ports add { 443 } source { addresses add { 10.0.1.0/24 } } action accept } tmsh create security firewall policy mgmt-policy rules add { mgmt-allow } tmsh modify sys db config.allow.rfc3927 value disable tmsh save sys config
-
Отключите уязвимый iControl REST-эндпоинт:
- Модифицируйте конфигурацию HTTP-профиля, связанного с интерфейсом управления, чтобы отклонять запросы к пути
/mgmt/tm/util/bash. - Сделайте это через командную строку (TMOS Shell):
bash tmsh create ltm profile http http-restrict tmsh modify ltm profile http http-restrict response-rewrite rules add { block-bash } tmsh modify ltm profile http http-restrict response-rewrite rules block-bash { actions replace { 0 } conditions add { 0 } } tmsh modify ltm profile http http-restrict response-rewrite rules block-bash actions 0 { action replace value "\"HTTP/1.1 403 Forbidden\r\n\r\n\"" } tmsh modify ltm profile http http-restrict response-rewrite rules block-bash conditions 0 { http-uri path values add { /mgmt/tm/util/bash } } # Примените созданный профиль к своему виртуальному серверу управления (замените <vs-name>) # tmsh modify ltm virtual <vs-name> profiles add { http-restrict } tmsh save sys config
- Модифицируйте конфигурацию HTTP-профиля, связанного с интерфейсом управления, чтобы отклонять запросы к пути
Важно: Временные меры снижают риск, но не устраняют уязвимость. Планируйте установку официального патча как можно скорее.