F5 自2021年8月起提供可預期的季度安全通知,以確保F5客戶可以隨時掌握設備安全狀態。
本次2022年5月4日發布新季度安全通知
K55879220: Overview of F5 vulnerabilities (May 2022)
https://support.f5.com/csp/article/K55879220
本文檔旨在概述這些漏洞和安全漏洞,以幫助確定對您的 F5 設備的影響。
您可以在相關的安全公告中找到每個問題的詳細訊息。
• F5 在季度安全通知中披露了 BIG-IP、BIG-IQ和 APM Client 的新漏洞和修復程式。
• 按計劃於5月4日發佈第二季度安全風險披露,非突發事件
• 客戶應查看AskF5上的安全公告,以評估他們遇到這些問題的情況,並獲取有關建議的緩解措施的詳細資訊。
• 如果客戶對其中某些CVE的細節及觸發條件,解決方法有疑問的,請聯繫 Support 開 case 處理
• 我們建議客戶確保他們運行的是最新的適用軟體版本,以優化其系統的安全性和性能。
• 漏洞披露和補強是我們安全措施的關鍵部分,反映了我們努力保持警惕並專注於持續改進。
相關訊息:
近期有關 CVE-2022-1388 受到廣泛的注意,此漏洞是由F5內部自行發現,可通過配置修改進行先行加強並緩解。
此漏洞可透過以下方式進行修復或緩解
詳細說明請參閱:
K23605346: BIG-IP iControl REST vulnerability CVE-2022-1388
https://support.f5.com/csp/article/K23605346
(1) 完整修復方式為升級至各平臺分支最新漏洞修復版本
(2) 如果您尚未能安排時程升級至各平臺分支最新漏洞修復版本,如您執行過執行過2021及今年1季度安全加強的系統,可規避絕大多數惡意攻擊來源,
但建議盡速安排升級至各平臺分支最新漏洞修復版本。
此漏洞可能允許未經身份驗證的攻擊者通過管理埠或Self IP 位址對BIG-IP 系統進行網路訪問,
並獲得 root 許可權,可執行任意系統命令、 建立或刪除檔案或禁用服務。
緩解此漏洞的細節方式如下 :
您可以在管理 BIG-IP 系統時使用唯一且隔離的 Web 瀏覽器,並將系統訪問限制為僅允許受信任的用戶。
由於此攻擊是由合法的、經過身份驗證的用戶進行的,因此在仍允許使用者訪問配置程式的同時,沒有可行的緩解措施。
緩解措施是刪除任何不完全受信任的用戶的存取權限。即:
a. 通過配置針對 httpd 的 allow ip 限制只有受信使用者通過處於可信安全網路中的可信設備才可訪問 BIG-IP 系統管理介面的 TCP 443 埠;
b. 通過 self IP 的 Port Lockdown 設置進行存取控制。設置為 Allow None 將不允許 self IP 的所有協議埠被訪問。如果必須允許某些協議埠被訪問,可通過Allow Custom 進行設置。
我們強烈建議佈署BIG-IP時請務必針對管理介面(包含SelfIP)做嚴謹的安全存取策略設定以避免未授權的存取。
您可參閱以下文章進行安全配置:
K13309: Restricting access to the Configuration utility by source IP address (11.x – 17.x)
https://support.f5.com/csp/article/K13309
K17333: Overview of port lockdown behavior (12.x – 17.x)
https://support.f5.com/csp/article/K17333
安全問題的修復將繼續包含在我們的軟體產品中以季度型式持續發佈,我們強烈建議客戶始終運行其 F5 軟體的最新版本,以優化其系統的安全性和性能。