【資安】F5 主機存在遠端存取之服務弱點

ANA-漏洞預警

 

F5 主機存在遠端存取之服務弱點,根據外部組織公告,

惡意人士可先行掌握具有弱點的F5 主機與可登入之帳號,

透過rsync 服務程序的遠端更新憑證弱點,

置換F5 主機原有之ssh 憑證金鑰後取得主機控制權,

進而取得伺服器端內容資訊。


[影響平台:]
F5 BIG-IP 11.x versions before 11.6.0, 

11.5.1 HF3, 11.5.0 HF4, 11.4.1 HF, 11.4.0 HF7, 11.3.0 HF9,

and 11.2.1 HF11 Enterprise Manager 3.x versions before 3.1.1 HF2


[建議措施:]
•請盡速至F5 advisor網頁進行主機版本確認與評估韌體更新 

•如評估無法更新,敬請確認ConfigSync 可使用之IP 區域及TCP 873 Port 評估是否需要關閉

•細節描述:

攻擊者可先搜索具有F5 rsync 服務弱點之主機IP 與帳號,利用rsync 的cmi mudule 之遠端更新

ssh 憑證功能,將具有弱點的F5 主機ssh 憑證上傳更換成攻擊者的ssh 憑證,導致攻擊者可用管理

者權限登入主機並進而控制主機所有資料。 

HiNet SOC 建議管理者應儘速確認主機是否為影響範圍內的F5 主機版本,並請盡速評估是否更新至

最新版本。


[參考資料:]
•http://support.f5.com/kb/en-us/solutions/public/15000/200/sol15236.html#p2

•http://www.security-assessment.com/files/documents/advisory/F5_Unauthenticated
_rsync_access_to_Remote_Root_Code_Execution