[F5 BIG-IP] L4 스위치 보안 취약점 (CVE-2020-5902)

 

# L4 보안 취약점(CVE-2020-5902) 관련 조치 방안

  - 영향도 : Management 혹은 인가된 IP로 F5 장비에 접근할 수 있는 환경에서 인증된 사용자 혹은 인증되지 않은 사용자가 임의의 JAVA 코드를 실행 시켜 F5 장비의 설정 변경/삭제, 서비스 데몬 비활성화/서비스 실행이 가능함

 

조치 방안#1 – 취약점이 Fix된 버전으로 OS패치

제품명	OS	취약점 확인된 버전	취약점 Fix된 버전	심각성
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM)	15.x	15.1.0	15.1.0.4	Critical
		15.0.0	None
	14.x	14.1.0 - 14.1.2	14.1.2.6
	13.x	13.1.0 - 13.1.3	13.1.3.4
	12.x	12.1.0 - 12.1.5	12.1.5.2
	11.x	11.6.1 - 11.6.5	11.6.5.2

 

조치 방안#2 – httpd 장비 접근 ACL 적용 (취약점 해소를 위한 임시 조치 방법)

tmsh (CLI에서 tmsh 모드 진입)

list sys httpd allow (ACL 적용정보 확인)

modify sys httpd allow add { x.x.x.x y.y.y.y } (기존 allow list IP 설정이 존재 할 경우)

modify sys httpd allow replace-all-with { x.x.x.x y.y.y.y } (기존 allow list IP 설정이 존재하지 않을 경우)

 

조치 방안#3 – httpd 파일접근 차단 (취약점 해소를 위한 임시 조치 방법)

 

Command line

Log in to the TMOS Shell (tmsh) by entering the following command:

tmsh

Edit the httpd properties by entering the following command:

edit /sys httpd all-properties

Note: Running this command puts you into the vi editor.

Locate the line that starts with include none and replace it with the following:

include '
<LocationMatch ";">
Redirect 404 /
</LocationMatch>
<LocationMatch "hsqldb">
Redirect 404 /
</LocationMatch>
'

Write and save the changes to the configuration file by entering the following vi commands:

Esc
:wq!

When further prompted to Save Changes (y/n/e), enter y.

Save the configuration by entering the following tmsh command:

save /sys config  

To activate the mitigation, restart the httpd service by entering the following command:

restart sys service httpd

 

제조사에서는 가급적 Fix된 OS 패치를 권장하지만 당장 적용이 어려운 경우 조치 방안#2 또는 조치 방안#3을 통해

취약점 해소를 위한 임시 조치를 하는 것을 권고하고 있습니다. (접속 대상 IP만 명확하게 적용되어 있다면 외부 공격은

차단할 수 있지만 허용된 IP 에서 공격이 들어올 경우를 감안하여 조치 방안#3이라도 조치할 것을 권고)

 

해당 취약점에 대한 자세한 가이드는 지속적으로 업데이트 되고 있는 하기 경로  참조하시기 바랍니다.

 

https://support.f5.com/csp/article/K52145254

https://support.f5.com/csp/article/K52145254