2022년 5월 4일 F5社는 BIG-IP 제품의 인증 우회 취약점인 CVE-2022-1388에 대한 보안 업데이트 및 권고 사항을 게시하였습니다.
CVE-2022-1388은 BIG-IP 제품의 장치 관리 및 구성에 사용되는 ‘iControl REST API’를 악용한 인증 우회 취약점입니다. CVSSv3 점수가 9.8이 할당된 치명적인 취약점이지만 CVE-2022-1388은 F5 내부에서 발견되어 아직 공개적인 악용 사례 및 POC가 게시되지 않았습니다.
Shodan 검색을 통해 BIG-IP가 공용 네트워크에 노출된 결과를 보면 전 세계적으로 약 16,000개의 시스템이 있으며 국내에는 약 450개의 시스템이 노출되어 있습니다.
[그림 1] BIG-IP의 공용 네트워크
공격 영향
BIG-IP 시스템에 네트워크 접근이 가능하고 인증되지 않은 공격자가 제품의 인증 우회를 통해 원격으로 임의의 시스템 명령 실행, 파일 생성 및 삭제, 서비스 비활성화 등의 악성 행위를 수행할 수 있습니다.
취약한 버전
| 제품 | Branch 버전 | 취약한 버전 | 취약점 수정 버전 | 심각도 | CVSSv3 점수 | 취약한 구성 요소 |
| BIG-IP |
17.x |
None |
17.0.0 |
Critial |
9.8 | iControl REST |
| 16.x |
16.1.0 - 16.1.2 |
16.1.2.2 |
||||
| 15.x |
15.1.0 - 15.1.5 |
15.1.5.1 |
||||
| 14.x |
14.1.0 - 14.1.4 |
14.1.4.6 |
||||
| 13.x |
13.1.0 - 13.1.4 |
13.1.5 |
||||
| 12.x |
12.1.0 - 12.1.6 |
Will not fix |
||||
| 11.x |
11.6.1 - 11.6.5 |
Will not fix |
[표 1] CVE-2022-1388에 취약한 BIG-IP 버전
권장 조치
1. CVE-2022-1388에 취약한 BIG-IP 버전 확인
2. 취약점 수정 버전으로 업데이트
※ 11.x / 12.x 버전의 경우 EoSD(End of Software Development) 등의 이유로 취약점 수정 버전을 제공하지 않고 있습니다.
제품 업데이트가 불가한 환경의 경우 아래와 같은 방법으로 공격을 완화시킬 수 있습니다.
1. 자체 IP 주소를 통한 iControl REST 접근 차단
- 시스템의 각 IP 주소에 대해 ‘포트 잠금’ 설정을 ‘허용 안 함’으로 변경
- 포트를 열어야 하는 경우 사용자 지정 허용 옵션을 사용하여 iControl REST에 대한 접근을 허용하지 않도록 주의
2. 관리 인터페이스를 통해 iControl REST 접근 차단
보안 네트워크를 통해 신뢰할 수 있는 사용자 및 장치에 대해서만 관리 접근 제한
3. BIG-IP httpd 구성 수정
자체 IP 주소를 통한 iControl REST 접근 차단, 관리 인터페이스를 통해 iControl REST 접근 차단 또는 이러한 옵션이 환경에서 불가능한 경우 접근 차단의 대안으로 httpd 구성을 수정하여 완화할 수 있습니다.
※ 다음 절차를 수행해도 시스템에 부정적인 영향을 미치지 않아야 합니다.
a. BIG-IP 14.1.0 이상
i. 다음 명령을 입력하여 TMOS 쉘(tmsh)에 로그인
| tmsh |
ii. 다음 명령을 입력하여 httpd 구성 편집
| edit /sys httpd all-properties |
iii. ‘include none’으로 시작하는 줄에서 ‘none’을 다음과 같이 변경
※ 현재 include 문에 none 이외의 구성이 이미 포함되어 있는 경우 기존 큰따옴표 내에서 현재 구성 끝에 다음 구성을 추가
|
" RequestHeader set connection close
RequestHeader set connection keep-alive
RequestHeader set connection close " |
iv. httpd 구성 변경 및 저장 후 다음 명령을 입력하여 BIG-IP 구성 저장
| save /sys config |
b. BIG-IP 14.0.0 이하
i. 다음 명령을 입력하여 TMOS 쉘(tmsh)에 로그인
| tmsh |
ii. 다음 명령을 입력하여 httpd 구성 편집
| edit /sys httpd all-properties |
iii. ‘include none’으로 시작하는 줄에서 ‘none’을 다음과 같이 변경
※ 현재 include 문에 none 이외의 구성이 이미 포함되어 있는 경우 기존 큰따옴표 내에서 현재 구성 끝에 다음 구성을 추가
| "RequestHeader set connection close" |
iv. httpd 구성 변경 및 저장 후 다음 명령을 입력하여 BIG-IP 구성 저장
| save /sys config |
참고 자료
https://support.f5.com/csp/article/K23605346
https://www.bleepingcomputer.com/news/security/f5-warns-of-critical-big-ip-rce-bug-allowing-device-takeover/
https://www.tenable.com/blog/cve-2022-1388-authentication-bypass-in-f5-big-ip
https://thestack.technology/critical-new-big-ip-vulnerability-cve-2022-1388/
보안관제센터 MIR Team