10 марта F5 анонсировали миру о новых уязвимостях в устройствах BIG-IP и BIG-IQ: удаленного исполнения команд в интерфейсе iControl REST и Traffic Management Interface, и две уязвимости переполнения буфера. Шесть из семи перечисленных уязвимостей получили балл критичности 8.0 или выше в системе оценки уязвимостей CVSS.
Уязвимости:
K03009991: iControl REST unauthenticated remote command execution vulnerability CVE-2021-22986
K18132488: Appliance Mode TMUI authenticated remote command execution vulnerability CVE-2021-22987
K70031188: TMUI authenticated remote command execution vulnerability CVE-2021-22988
K45056101: Advanced WAF/ASM TMUI authenticated remote command execution vulnerability CVE-2021-22990
касаются Management GUI F5 и не могут быть полностью устранены без обновления. Те, кто имеет доступ к GUI консоли управления F5 через Management или self IP интерфейсы, например, по причине их открытого доступа извне, или изнутри защищенной сети, потенциально могут реализовать данные уязвимости. Угрозу извне можно уменьшить, предоставляя доступ к Management интерфейсу только внутренним сотрудникам, а на self IP интерфейсах использовать параметр доступа "Allow None" или "Allow Custom" без разрешения доступа по порту 443.
Следующие уязвимости:
касаются Data Plane и могут быть реализованы через пользовательские запросы к сервисам, находящимся за F5. Уязвимость AWAF/ASM может быть закрыта применением iRule, указанным в статье, в то время как уязвимость TMM buffer overflow не имеет плана устранения без обновления к версии с патчем.
Патчи доступны для всех семи «пробоин» для BIG-IP версий 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 и 11.6.5.3. Уязвимость iControl REST также влияет на BIG-IQ, и патчи доступны для версий 8.0.0, 7.1.0.3 и 7.0.0.2.
Самый быстрый и доступный способ обезопасить ваши сетевые устройства – обновить ПО BIG-IP и BIG-IQ. Подготовка и обновление F5 пошагово:
1. Определение совместимости версии ПО F5 c имеющейся системой.
Определите версии программного обеспечения, поддерживаемые вашей платформой в зависимости от типа:
Как узнать модель устройства?
Открыть веб интерфейс управления F5
Пункт меню Device Management > Devices
Нажмите на название Вашего устройства с подписью (Self)
Поле Platform Name представляет модель устройства:
Также можно использовать CLI команду:
tmsh show /sys hardware
2. Определение совместимости конфигурации с новой версией ПО
1. Ознакомьтесь с изменениями в новой версии ПО. Найдите статью аналогичную “BIG-IP X.X.X New and Installation”, например:
BIG-IP 16.0.0 New and Installation, https://techdocs.f5.com/kb/en-us/products/big-ip_ltm/releasenotes/product/relnote-bigip-16-0-0.html
Узнайте со статьи о расширении и сокращении функционала F5.
2. Проанализируйте изменения в профилях по умолчанию, которые используются на Вашей системе в новой версии ПО (TCP profile, HTTP profile, clientssl/serverssl pofile…)
3. Обновление F5, когда используется оборудование c vCMP.
Выбрать устройство и подготовить к его обновлению;
Перевод выбранного устройства в Standby режим;
Необходимо поочередно выключить все vCMP на шасси;
Обновить шасси. После обновления vCMP не включать;
Включить VCMP #1 и полностью обновить его;
Включить VCMP #2 и полностью обновить его;
...
Чтобы избежать ситуации, когда во время установки обновления "что-то пойдет не так" — обновляйте одновременно только один vCMP за раз во время наименьшей нагрузки на сервисы, так как потребуется переключение ролей кластера.
Обновление каждого F5 занимает от 10-ти до 40-ка минут. Нужно учитывать это при планировании работ.
Схема обновления одного устройства vCMP:
Обновление происходит на Standby шасси.
Первым делом обновляется шасси, проводится проверка системы, и только после этого — по одному обновляется каждый vCMP.
Обязательно поставить ручной режим синхронизации настроек кластера на шасси и на каждой паре vCMP.
Сначала проводится обновление одного F5 и только потом второго.
4. Общие этапы обновления F5
1. Загрузите iso образ нужной версии.
2. Перед проведением процесса обновления рекомендуется для начала проверить целостность текущей конфигурации, используя команду: tmsh load /sys config verify
. Система не должна возвращать никаких ошибок.
3. Далее необходимо создать UCS архив конфигурации BIG-IP и сохранить его в безопасном удаленном месте на случай, если это потребуется для восстановления. В случае vCMP-устройства, создайте архив UCS для шасси и каждой гостевой vCMP и поместите на удаленное хранилище файлов: System > Archives > Create. В случае возникновения непредвиденной ситуации у Вас будет резервная копия, с которой можно будет восстановить систему.
4. Импортируйте на обоих нодах предварительно загруженный ISO-образ системы:
Software Management > Image List > Import.
5. Обязательно перевести синхронизацию кластера каждой из vCMP пары и хоста в MANUAL режим и проводить обновление только на STANDBY ноде. Далее установить состояние “Force offline” для Standby ноды: Device Management > Devices > выбрать то устройство, которое будет обновляться > Force offline.
6. Убедиться, что обновляемое устройство передало трафик/запросы второму устройству в кластере.
7. После этого можно устанавливать обновление на отдельный boot location (выбирать неактивный boot location).
8. Важно не забыть загрузить конфигурацию системы на новый boot location во время обновления: ”Install Configuration” параметр выбрать “Yes”.
9. После того, как обновленная версия будет установлена, необходимо загрузить систему с нового boot location`a со свежей ОС F5
10. Проверить, что она работает без ошибок и подтянулась конфигурация.
Возможна ошибка синхронизации в момент, когда Вы обновили только одно устройство F5 “новой” версии, а второе еще на “старой”. Кластер отработает, но синхронизация конфигураций не будет работать. После обновления второй ноды кластера синхронизация возобновится сама.
11. Если система не выдает других ошибок, то можно вывести её из состояния “Force offline”:
Device Management > Devices > обновленная нода > Release offline.
В случае проблем – перезагрузка устройства на "старый" boot location. При этой перезагрузке нужно активировать ранее используемый Boot Location выбрав “Install configuration — No” так как исходная конфигурация уже находится на нем.
После успешного обновления F5 необходимо провести тест переключения кластера и во всех обновленных кластерах вернуть режим синхронизации MANUAL в изначальное значение.
Если вам нужна помощь с проведением вышеуказанных операций, пишите нам на почту F5support@bakotech.com. Инженеры технической поддержки F5 | BAKOTECH обязательно вам помогут.
erthink
"Как обезопасить ваши сетевые устройства?" — отключить питание, пока не слишком поздно ;)