3月10日(現地時間)、複数のBIG-IP製品にリモートコード実行が可能となる脆弱性が存在する事をF5 Networksが公開を行いました。
現在は最新のイメージの配布が行われているため、最新のイメージ適用が推奨されております。
https://support.f5.com/csp/article/K02566623
もし、すぐに最新のイメージの適用が行えない場合、TippingPoint にて一時対策(仮想パッチ)を行う事が可能です。
03月24日(日本時間)、DV #9519 にて今回の脆弱性対策用の Filter がリリースされました。
CVE-2021-22986
39352: HTTP: F5 BIG-IP iControl REST Interface Login Request
デフォルト設定:Disable
39360: HTTP: F5 BIG-IP iControl REST filePath Command Injection Vulnerability
デフォルト設定:Block / Notify
39364: HTTP: F5 BIG-IP bash Suspicious Command Execution Request
デフォルト設定:Block / Notify
CVE-2021-22992
39265: HTTP: F5 BIG-IP ASM is_hdr_criteria_matches Buffer Overflow Vulnerability
デフォルト設定:Disable
本 Filter は、TippingPoint をお使いの上、DV #9519 に定義ファイルの更新が完了している環境であれば、
メーカーデフォルト設定が Block / Notify となっている Filter:39360 とFilter:39364 にて検査は行っております。
ただ、メーカーデフォルト設定が Disable となっている Filter:39352 と Filter:39265 につきましては、有効状態に変更を行う必要がございます。
SMS をご利用されているお客様の場合、以下の手順にて Filter の有効化が行えます。
01.SMS Client にて SMS にログイン 02.画面上部メニュー「Profiles」をクリック 03.画面左部メニュー「Profiles」⇒「Inspection Profiles」⇒「(現在使用しているProfile)」⇒「Search」をクリック 04.画面右部「Filter Name」に「39352」と入力を行い、右側「Search」をクリック
05.画面下部「Search Results」に表示された Filter をクリック後、右下「Edit」をクリック 06.新しいウィンドウ「Action」内の「Use Filter Specific Settings」を選択 07.「State」の「Enabled」にチェックを入れる 08.「Action Set」で任意の動作※を選択後、右下「OK」をクリック ・Block + Notify:該当通信遮断 + 検知通知 ・Permit + Notify:該当通信通過 + 検知通知 ・Block:該当通信遮断 ・Permit:該当通信通過
※Filter:39265についても有効化を行う場合は、手順04にてFilterの検索を行う際に「39265」と入力を行い、
その後、手順05から手順08の実施をお願いいたします 09.画面左部メニュー「Profiles」⇒「Inspection Profiles」⇒「(現在使用しているProfile)」をクリック 10.画面右部「Distribute」をクリックし、適用を行いたいセグメントを選択し、「OK」をクリック 11.新しいウィンドウにて、100%(Complete)になれば適用完了
※Filter 設定変更による業務通信影響を気にされる場合は、最初は「Permit + Notify」にて設定を行い、
業務通信に影響が無い事が確認出来た後、「Block + Notify」に変更を行うことをおすすめいたします。